_______________________________

Digitales Erbe 

Quelle: BGH III ZB 30/20 vom 27.98.2020

_______________________________

DSK zum Schrems-II-Urteil des EuGH

Quelle: https://datenrecht.ch/dsk-zum-schrems-ii-urteil-des-eugh/

Die deutsche Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) veröffentlichte zum Urteil des EuGH bezüglich Schrems II eine Pressemitteilung.

In der Pressemitteilung von der deutschen Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) wurden folgende Punkte festgehalten:

·       Für eine Übermittlung von Personendaten in die USA und andere Drittländer dürfen die bestehenden Standardvertragsklauseln weiter genutzt werden. Der EuGH betont dabei die Verantwortung des Verantwortlichen und des Empfängers. Diese müssen überprüfen und bewerten, ob die Rechte der betroffenen Personen im „Drittland“ ein gleichwertiges Schutzniveau wie in der Union geniessen. “Nach dem Urteil des EuGH reichen bei Datenübermittlungen in die USA Standardvertragsklauseln ohne zusätzliche Massnahmen grundsätzlich nicht aus.“

·       Die Feststellungen des EuGH finden auch auf BCR (Binding Corporate Rules) Anwendung. Diese müssen ein im Wesentlichen gleichwertiges Datenschutzniveau wie in der EU garantieren.

·       Die Aufsichtsbehörden haben vom EuGH eine „Schlüsselrolle“ bei der Durchsetzung der DSGVO zugewiesen erhalten.

_______________________________

Cookie-Einwilligung II

Quelle: https://www.jurpc.de/jurpc/show?id=20200105; https://www.bundesgerichtshof.de/SharedDocs/Pressemitteilungen/DE/2020/2020067.html

Am 28. Mai 2020 hat der Bundesgerichtshof (BGH) entschieden (Urteil vom 28. Mai 2020, I ZR 7/16), dass eine Opt-Out Regelung nicht ausreicht, um die Zustimmung von Nutzern zur Speicherung von Daten zu erlangen. Cookie-Banner wurden für unrechtmässig erklärt, wenn diese nur weggeklickt werden können.

Der Bundesgerichtshof hat im vorliegenden Fall über die Frage entschieden, welche Anforderungen an die Einwilligung in telefonische Werbung und die Speicherung von Cookies auf dem Endgerät des Nutzers zu stellen sind.

Die Beklagte veranstaltete im September 2013 ein Gewinnspiel. Beim Kläger handelt es sich um den Bundesverband der Verbraucherzentralen. Der Nutzer gelangte auf eine Seite nach Eingabe der Postleitzahl. Schliesslich musste der Name und Anschrift des Nutzers angegeben werden. Unter den Eingabefeldern für die Adresse befanden sich zwei Ankreuzfeldern versehene Einverständniserklärungen.

Einerseits sollte mit Bestätigen des ersten Textes, dessen Ankreuzfeld nicht mit einem voreingestellten Häkchen versehen war, das Einverständnis mit einer Werbung durch Sponsoren und Kooperationspartner der Beklagten per Post, Telefon, E-Mail oder SMS erklärt werden. Das zweite Ankreuzfeld war mit einem voreingestellten „Häckchen“ versehen und lautete:

"Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, die [Beklagte], nach Registrierung für das Gewinnspiel Cookies setzt, welches [der Beklagten] eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier."

Der voreingestellte Haken konnte entfernt werden. Eine Teilnahme am Gewinnspiel war aber nur möglich, wenn mindestens eines der beiden Felder mit einem Haken versehen war.

Die Einwilligung der Nutzer muss durch aktives Ankreuzen entsprechender Felder erklärt werden. Das vorformulierte Einverständnis zum Setzen von Cookies sei laut BGH unwirksam. Eine Ausnahme bilden sie sog. „zwingend erforderliche“ Cookies. Es hängt vom konkreten Einzelfall ab, wann dies genau der Fall sein soll. Das Tracking zu Werbezwecken und zur Profilbildung ist nach BGH nicht zwingend erforderlich und die Einwilligung muss hierfür mittels Opt-In gegeben sein.

„An dieser Rechtslage hat sich seit dem 25. Mai 2018, dem ersten Geltungstag der Verordnung (EU) 2016/679, nichts geändert, weil diese Verordnung nach ihrem Art. 95 die Fortgeltung des § 15 Abs. 3 Satz 1 TMG als den Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG umsetzende nationale Regelung unberührt lässt. Soweit für die Definition der Einwilligung nicht mehr auf Art. 2 Buchst. h der aufgehobenen Richtlinie 95/46/EG abgestellt werden kann, sondern Art. 4 Nr. 11 der Verordnung (EU) 2016/679 heranzuziehen ist, führt dies zum selben Ergebnis. Der Gerichtshof der Europäischen Union hat auf Vorlage durch den Senat auch mit Blick auf Art. 4 Nr. 11 der Verordnung (EU) 2016/679 entschieden, dass ein vom Nutzer abzuwählendes, voreingestelltes Ankreuzkästchen keine wirksame Einwilligung darstellt.“

_______________________________

EuGH kippt Privacy Shield

Quelle: https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf; https://www.srf.ch/play/radio/rendez-vous/audio/facebook-und-co--muessen-praxis-aendern?id=47c225bc-84ed-4a54-a73a-eafd6483a41e

Das Datenschutzabkommen „Privacy Shield“ 2016/1250 wurde vom Europäischen Gerichtshof (EuGH) für ungültig erklärt. Im Prinzip sei aber ein Datentransfer in andere Staaten auf Basis sogenannter Standardvertragsklauseln weiterhin zulässig, sofern ein gleichwertiges Niveau an Datenschutz in den Vereinigten Staaten gegeben ist.

Mit dem vom Europäischen Gerichtshof am 16. Juli 2020 verkündeten Urteil stellt der Gerichtshof im europäischen Datenschutzrecht bezüglich des Verhältnisses EU und den Vereinigten Staaten fest, dass die Prüfung des Beschlusses 2010/87 über Standardvertragsklauseln anhand der Charta der Grundrechte der Europäischen Union nichts ergeben hat, was seine Gültigkeit berühren könnte.

Im vorliegenden Fall reichte Herr Schrems, ein in Österreich wohnhafter österreichischer Staatsangehöriger, Nutzer von Facebook, eine Beschwerde bei der irischen Aufsichtsbehörde ein. Die personenbezogenen Daten werden ganz oder teilweise von Facebook Ireland an Server der Facebook Inc., die sich in den Vereinigten Staaten befinden, übermittelt und verarbeitet. Im Wesentlichen zielte die Beschwerde darauf ab, diese Übermittlungen verbieten zu lassen. Mit der Beschwerde machte Herr Schrems geltend, dass das Recht und die Praxis der Vereinigten Staaten keinen ausreichenden Schutz vor dem Zugriff der Behörden auf die dorthin übermittelten Daten bieten.

Der EuGH erklärte das „Privacy Shield“ für ungültig. Mit Blick auf die Zugriffsmöglichkeiten der US-Behörden seien die Anforderungen an den Datenschutz nicht gewährleistet. Die Standardvertragsklauseln sollen im Kern Garantien dafür bieten, dass die Daten von EU-Bürgern auch bei einer Übermittlung aus der EU ins Ausland angemessen geschützt sind.

„In Bezug auf das im Rahmen einer solchen Übermittlung erforderliche Schutzniveau entscheidet der Gerichtshof, dass die insoweit in der DSGVO vorgesehenen Anforderungen, die sich auf geeignete Garantien, durchsetzbare Rechte und wirksame Rechtsbehelfe beziehen, dahin auszulegen sind, dass die Personen, deren personenbezogene Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden, ein Schutzniveau genießen müssen, das dem in der Union durch die DSGVO im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist. Bei der Beurteilung dieses Schutzniveaus sind sowohl die vertraglichen Regelungen zu berücksichtigen, die zwischen dem in der Union ansässigen Datenexporteur und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung vereinbart wurden, als auch, was einen etwaigen Zugriff der Behörden dieses Drittlands auf die übermittelten Daten betrifft, die maßgeblichen Aspekte der Rechtsordnung dieses Landes.“

Betreffend die Pflichten, die den Aufsichtsbehörden im Zusammenhang mit solchen Übermittlungen obliegen, vertritt der EuGH die Meinung, dass diese Behörden, sofern kein gültiger Angemessenheitsbeschluss der Kommission vorliegt, insbesondere verpflichtet sind, eine „Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn sie im Licht der Umstände dieser Übermittlung der Auffassung sind, dass die Standarddatenschutzklauseln in diesem Land nicht eingehalten werden und dass der nach dem Unionsrecht erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann, es sei denn, der in der Union ansässige Datenexporteur hat die Übermittlung selbst ausgesetzt oder beendet.“

Fazit:

Die Daten aus sozialen Netzwerken dürfen nicht mehr ohne weiteres in die Vereinigten Staaten geliefert werden. Diesbezüglich hat der EuGH die Datenschutzvereinbarung „Privacy Shield“ zwischen der EU und den Vereinigten Staaten gekippt. Der EuGH hat mit dieser Aufhebung das Datenschutzrecht gestärkt. Als betroffene Personen haben wir nicht die gleichen Rechte an unseren Daten in den Vereinigten Staaten wie in Europa. In den Vereinigten Staaten können die Daten unbefugt weitergegeben werden, insbesondere auch an Geheimdienste. In Vereinigten Staaten kann man sich nicht an eine unabhängige Behörde wenden, die sich für unsere Rechte einsetzen würde, wie das bspw. bei den Datenschutz-Aufsichtsbehörden in Europa der Fall ist.

Die Schweiz hat ein ähnliches Abkommen „Privacy Shield“ mit den Vereinigten Staaten. Wir müssen davon ausgehen, dass dieses Abkommen auch nicht unserem Datenschutzniveau entspricht und ungültig sein wird.

Mit der Aufhebung des „Privacy Shield“ fällt nicht der ganze Datenaustausch mit den Vereinigten Staaten weg. Es braucht allerdings jetzt individuelle Vertragsklauseln. Diese wurden vom EuGH nicht aufgehoben, denn sie können von den unabhängigen Datenschutz Aufsichtsbehörden überprüft werden. Im vorliegenden Fall geht es um kommerziellen Daten, welche an Unternehmen weitergegeben werden (bspw. durch soziale Netzwerke). Diese Unternehmen sind nun gezwungen sich an europäisches Datenschutzniveau besser zu halten und die Daten sicherer zu bearbeiten.[1]

Busse der CNIL gegen Google bestätigt

Quelle: https://datenrecht.ch/busse-der-cnil-gegen-google-bestaetigt/

Busse gegen niederländische Kreditauskunftei

Quelle: https://datenrecht.ch/busse-gegen-niederlaendische-kreditauskunftei-systematische-verletzung-des-auskunftsrechts-eur-830000/;

https://www.engage.hoganlovells.com/knowledgeservices/news/dutch-dpa-issues-re- cord-fine-for-violating-gdpr-data-subject-rights

Die staatliche niederländische Kreditauskunftei BKR (Bureau Krediet Registrate) ist mit einer Busse von EUR 830‘000.00 belastet worden. Es handelt sich um eine systemati- sche Verletzung des Auskunftsrechts.

 _____________________________________________________

OLG München zu Influencern

Quelle: https://www.lto.de/recht/nachrichten/n/olg-muenchen-cathy-hummels-sieg-influencer-streit-schleichwerbung-instagram/

Hat die Influencerin auf ihrem Instagram-Profil Schleichwerbung gemacht? Das Oberlandesgericht München hat sich mit dieser Frage befasst (Urteil vom 25. Juni 2020 - 4 HK O 14312/18)

Das OLG München wies die Berufung des Verbandes Sozialer Wettbewerb zurück. Der Verband warf der Influencerin vor, mehrere ihrer Beiträge auf Instagram nicht als Werbung gekennzeichnet zu haben.

„Der Senat dagegen sieht die angegriffenen Posts nicht als "unlauter im Sinne des Wettbewerbsrechts" an, wie eine Gerichtssprecherin anschliessend mitteilte.“ Ferner verneinte der Senat das Vorliegen einer geschäftlichen Handlung, was bedeutet, dass die Influencerin damit kein Geld verdienen wollte.

 Das OLG München liess die Revision zum Bundesgerichtshof zu, wegen der grundsätzlichen Bedeutung und auch, weil andere Gerichte in ähnlich gelagertem Fällen anders und zugunsten des Verbandes Sozialer Wettbewerb entschieden haben.

 _____________________________________________________

Influencer Postings: Keine Kennzeichnungspflicht bei offensichtlicher Werbung

Quelle: https://www.juris.de/jportal/portal/t/1tkj/page/homerl.psml?nid=jnachr-JUNA200702342&cmsuri=%2Fjuris%2Fde%2Fnachrichten%2Fzeigenachricht.jsp

Die Influencer müssen Beiträge mit Produktdarstellungen und Herstellerhinweisen nicht ausdrücklich als Werbung kennzeichnen, wenn für Verbraucher offensichtlich ist, dass es sich um Influencer-Werbung handelt. Dies hat das OLG Hamburg am 2. Juli 2020 entschieden.

Im vorliegenden Fall klagte ein Wettbewerbsverband gegen eine Influencerin aus Hamburg, die mit Werbeverträgen ihren Lebensunterhalt verdient. Die Influencerin hat auf ihrem Instagram-Account rund 1.7 Mio. Abonnenten. Sie veröffentlicht zu den Themen Beauty, Mode, Lifestyle und Reisen Bilder und Texte, die sie nur dann ausdrücklich als Werbung kennzeichnet, wenn sie hierfür eine Bezahlung von Unternehmen erhält, deren Produkte gezeigt werden.

Gegenstand des Streits waren Beiträge, die ohne konkrete Bezahlung mit Hinweisen auf den Hersteller der gezeigten Produkte versehen sind. Der Verband verlangte auch hier eine ausdrückliche Kennzeichnung der Werbung.

Sofern für Verbraucher offensichtlich ist, dass es sich um Influencer-Marketing handelt, braucht es gemäss OLG Hamburg keine ausdrückliche Kennzeichnung der Werbung. Nach Auffassung des OLG ist der kommerzielle Zweck solcher Postings als Werbung für Verbraucher derart offensichtlich, dass die Gefahr einer Irreführung oder eine Verwechslung mit privaten oder redaktionellen Inhalten ausgeschlossen ist.

„Trotzdem sei die fehlende Kennzeichnung der Postings als Werbung nicht wettbewerbswidrig, denn der kommerzielle Zweck der geschäftlichen Handlung ergebe sich jeweils unmittelbar aus den Umständen (§ 5a Abs. 6 UWG), weil er für einen Verbraucher auf den ersten Blick erkennbar sei. Bei einem für alle Nutzer zugänglichen Instagram-Account mit rund 1,7 Abonnenten und professionell gestalteten Postings mit rund 50.000 likes sei jedem Verbraucher unmittelbar bewusst, dass es sich einen öffentlichen Auftritt der Beklagten handle, über den Influencer-Marketing verbreitet werde.“

Das OLG Hamburg weicht mit dieser Entscheidung von der Rechtsprechung anderer Obergerichte ab, weswegen die Revision zugelassen wurde, über die der BGH zu entscheiden hätte.

 _____________________________________________________

Zustimmung zu Cookies im Internet darf nicht voreingestellt sein

Quelle: https://www.internetworld.de/technik/cookie/zustimmung-zu-cookies-im-internet-voreingestellt-2539565.html

„Wer auf Internetseiten Cookies setzen will, braucht in jedem Fall die aktive Zustimmung des Nutzers.“

Der Bundesgerichtshof (BGH) hat entschieden, dass Nutzer dem Setzen von Cookies im Internet aktiv zustimmen müssen. Unzulässig ist die Voreinstellung, ein voreingestellter Haken im Feld zur Cookie-Einwilligung, durch den Anbieter von Angeboten.

Das deutsche Telemediengesetz wurde nach den Vorgaben der seit 2018 geltenden EU-Datenschutzverordnung ausgelegt.

Der Fall Planet49:

In diesem Fall geht es um Online-Gewinnspiele des Unternehmens Planet49. Die Verbraucherzentrale Bundesverband klagte gegen Planet49, da auf der Anmeldeseite des Gewinnspiels ein Kästchen vorhanden vor, bei dem bereits ein Haken für die Zustimmung in das Setzen von Cookies eingetragen war. Die Verbraucherzentrale hielt das Vorgehen von Planet49 für unzulässig.

Der Europäische Gerichtshof wurde vom Bundesgerichtshof gebeten, die Auslegung der EU-Datenschutzvorschriften vorzunehmen. Gemäss Luxemburger EuGH-Richter wird die Einwilligung in das Setzen von Cookies durch das Vorgehen bei dem Planet49-Gewinnspiel nicht wirksam erteilt. Die Nutzer sollen vor jedem Eingriff in ihre Privatsphäre geschützt werden. „Die Teilnahme an einem Gewinnspiel durch Betätigung einer Schaltfläche stelle keine wirksame Einwilligung in die Speicherung von Cookies dar.“

Der eco – Verband der Internetwirtschaft begrüsst dieses Urteil. Seit dem Inkrafttreten der DSGVO haben sich die Anforderungen an eine Einwilligung nochmals verändert. Die Einwilligung muss ausdrücklich erfolgen.

 _____________________________________________________

Niederländisches Bezirksgericht: Anspruch auf Entfernung von Enkel Fotos aus Social Media

Quelle: https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBGEL:2020:2521

Das niederländische Bezirksgericht Gelderland hat entschieden, dass die Grossmutter auf Antrag der Mutter des Kindes ein Bild ihres minderjährigen Enkels aus ihren Facebook- und Pinterest-Accounts entfernen muss.

Die Ansprüche wurden vom Gericht gemäss Verordnung 2016/679 (der allgemeinen Datenschutzverordnung oder GDPR) bewertet. Das Urheberrecht wurde nicht angewendet, da keine der Parteien die Urheberschaft an den Bildern beanspruchte.

Das Bezirksgericht stellte fest, dass nicht nachgewiesen wurde, dass die Seiten der Grossmmutter für die allgemeine Öffentlichkeit unzugänglich sind. Es bleibt somit unklar, ob man die Bilder auch über Google finden könnte.  

Im Falle von Facebook kann nicht ausgeschlossen werden, dass die veröffentlichten Bilder von Dritten verbreitet und heruntergeladen werden können.

 _____________________________________________________

Corte Suprema Italien: Schutz von Shopdesign

Quelle: https://drive.google.com/file/d/1fICXafahdDOue6FoBx6VAlEgQoCj7OPn/view

Der oberste Gerichtshof Italiens hat entschieden (Urteil vom 6. Februar 2020 – 780/2020), dass die Anordnung der KIKO-Konzeptläden – insbesondere die Art und Weise, wie die verschiedenen Elemente, die zur Einrichtung solcher Läden verwendet werden, kombiniert, koordiniert und zusammengesetzt werden – nach Art. 2 Nr. 5 des italienischen Urheberrechtsgesetzes als architektonischer Plan schutzfähig ist.

Der Oberste Gerichtshof vertritt die Auffassung, dass Urheberrecht und Designschutz gleichzeitig bestehen können. Sie können aber auch unterschiedliche Ziele verfolgen und unterschiedlichen Anforderungen unterliegen. Des Weiteren bestätigt der Oberste Gerichtshof Italiens die EuGH-Entscheidung, dass „das Fortbestehen der Originalität, wie es das Urheberrecht verlangt, d.h. das Fortbestehen einer wohldefinierten und schöpferischen Ausdrucksform, die die freien Entscheidungen und die Persönlichkeit ihres Urhebers widerspiegelt, nicht auch bedeutet, dass sie aus ästhetischer Sicht eine visuell relevante Wirkung erzeugt, wie sie stattdessen für den Schutz als Geschmacksmuster erforderlich ist."

Folgendes Rechtsprinzip wurde vom Obersten Gerichtshof Italiens abgeleitet: Gemäss Art. 2 Nr. 5 des italienischen Urheberrechtsgesetzes ist ein Innenarchitekturplan oder ein Werk, das ein einheitliches Projekt widerspiegelt, als architektonisches Werk schutzfähig.

Um durch das Urheberrecht schutzfähig zu sein, muss ein architektonischer Plan oder ein Werk

•       immer identifizierbar und

•      erkennbar unter dem Gesichtspunkt seines formalen Ausdrucks als ein eigenes, einheitliches Werk des Autors, das aus präzisen Entscheidungen über die Zusammensetzung der verschiedenen Elemente besteht (z.B. die Farben der Wände, besondere Lichteffekte, die konsequente Wiederholung von Dekorationselementen, die Verwendung bestimmter Materialien, die Größe und Proportionen).

 _____________________________________________________

Schlussanträge des EuGH-Generalanwalts in der Rechtssache C-61/19

Quelle: Zeitschrift Datenschutz-Berater DSB 04/2020, S. 81

Der Generalanwalt (GA) Szpunar hat im Rahmen der am 4. März 2020 veröffentlichten Schlussanträge in der EuGH Rechtssache C-61/19 seine Interpretation zu den Anforderungen an eine datenschutzrechtliche Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO dargelegt.

Die Anforderungen an eine Informiertheit der betroffenen Person sind sehr hoch. Es muss der betroffenen Person eindeutig und unmissverständlich klar gemacht werden, dass eine Verweigerung der Einwilligung unter Umständen nicht die parallele Erfüllung eines Vertrages unmöglich werden lässt.

Nach Ansicht des GA muss der Informationstext folgende Angaben enthalten:

• alle die Datenverarbeitung betreffenden Umstände;

• deren Folgen betreffenden Umstände;

• welche Daten verarbeitet werden;

• wie lange die Verarbeitung andauert;

• in welcher Weise sie erfolgt;

• zu welchem spezifischen Zweck sie erfolgt,

• wer die Daten verarbeitet;

• ob die Daten dazu bestimmt sind, an Dritte übermittelt zu werden;

• welche Folgen es hat, wenn die Einwilligung verweigert wird.

_____________________________________________________

Keine Löschung von Daten nach Einstellung von Ermittlungsverfahren wegen Totschlages

Quelle: Zeitschrift Datenschutz-Berater DSB 04/2020, S. 80

Eine betroffene Person hat keinen Anspruch auf Löschung ihrer Daten, wenn ein Ermittlungsverfahren eingestellt wurde, aber noch Verjährungsfristen laufen.

Das Bayerische Oberste Landesgericht hat bezüglich der Löschung von Daten nach Einstellung von Verfahren entschieden, dass eine betroffene Person keinen Anspruch auf Löschung ihrer Daten hat, obwohl ein Ermittlungsverfahren eingestellt wurde. Der Grund dafür: Die Verjährungsfristen laufen noch.

Die Staatsanwaltschaft kann, nach Ansicht des Gerichts, den zutreffenden Tatvorwurf speichern, solange ein Ermittlungsverfahren nicht verjährt ist.

_____________________________________________________

Kein Recht auf "Bereinigung" einer Schülerakte nach der DSGVO bei Schulwechsel

Quelle: Zeitschrift Datenschutz-Berater DSB 04/2020, S. 80

Aus dem Löschanspruch aus Art. 17 DSGVO ergibt sich kein Recht auf „Bereinigung“ einer Schülerakte.

Das Verwaltungsgericht Berlin (Beschluss vom 28.2.2020, VG 3 L 1028.19) hat entschei- den, dass kein Recht auf „Bereinigung“ einer Schülerakte nach Art. 17 DSGVO besteht.

Im vorliegenden Fall besuchte der Schüler ab dem Schuljahr 2018/2019 ein Gymnasium in Berlin, welches er nach einem Gewaltvorfall verliess. Das Probejahr bestand er nicht. Die achte Jahrgangsstufte besuchte der Schüler in einer anderen Berliner Schule, wobei es zu zahlreichen, in seiner Schülerakte dokumentierten Vorfällen kam.

_____________________________________________________

8'000 Euro Schadenersatz für Namensnennung

Facebook muss ohne Zustimmung generierte Profilseiten löschen

Quelle: http://www.rechtsprechung-hamburg.de/jportal/portal/page/bsharprod.psml?showdoccase=1&doc.id=JURE200003817&st=ent

Das LG Hamburg hat entschieden (Urteil vom 13.02.2020, 312 O 372/18), dass Facebook eine automatisch und ohne Zustimmung des jeweiligen Unternehmens bzw. Betroffenen generierte Facebook-Seite löschen muss.

Im vorliegenden Fall streiten die Parteien wegen der von der Beklagten (Beklagte betreibt auf www.facebook.com eines der grössten Netzwerke der Welt) erstellten Profilseiten über die Klägerin. Bei der Klägerin handelt es sich um eine in Hamburg tätige Rechtsanwaltskanzlei, die auf Urheber- und Medienrecht sowie den gewerblichen Rechtsschutz spezialisiert ist.

Am 19.1.2018 wurde von der Klägerin bemerkt, dass ohne ihre Einwilligung auf www.facebook.com Profile mit ihren Namen eingerichtet worden waren. Bei dieser Seite handelt es sich um eine sogenannte nicht-verwaltete Seiten, die automatisch von der Beklagten generiert werden, wenn ein Unternehmen nicht über ein Facebook-Profil verfügt und ein Nutzer das Unternehmen dort sucht. Die Angaben beruhen auf öffentlich zugänglichen Informationen.

Die Klägerin vertritt die Meinung, dass die Beklagte die geschäftliche Bezeichnung der Klägerin zur Bezeichnung eines Profils auf ihrer Plattform ähnlich zu einer für die Klägerin registrierten Domain benutze. Hierdurch entstehe ein Eindruck, dass das Profil von der Klägerin stamme. Die Klägerin störte es, dass der Eindruck entstehe, die Profilseite stamme von ihr. Der Hinweis „inoffizielle Seite“ vermöge daran nichts zu ändern, da der Hinweis nur klein und in grau auf hellgrauem Hintergrund gehalten sei. Es bestehe somit eine Verwechslungsgefahr.

Die Klägerin erhob einen Unterlassungsanspruch nach §§ 5, 15 MarkenG. In § 5 MarkenG wird u.a. allgemein der Schutz der Unternehmenskennzeichen und in § 15 der Unterlassungs- und Schadenersatzanspruch bei Zuwiderhandeln gegen  das Exklusivrecht des Inhabers einer geschäftlichen Bezeichnung.

Das LG Hamburg bejahte den Unterlassungsanspruch. Die Gestaltung des Profils stellt einen rechtswidrigen Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb der Klägerin dar.

Es wurden durch die von der Beklagten generierten Profilseiten über die Klägerin schutzwürdige Interessen der Klägerin verletzt. Die Klägerin müsste sich bezüglich des unvollständigen Profils im Hinblick auf ihre berufliche Tätigkeit erklären.

Zunächst besteht ein betriebsbezogener Eingriff aufgrund der Verwechslungsgefahr zwischen dem streitgegenständlichen Profil und einer von der Klägerin erstellten Profilseite. Als einziges Rechtsgebiet wurde auf dem Profil „Arbeitsrecht“ angegeben. Somit liegt klar ein betriebsbezogener Eingriff, da die Klägerin auf das Urheber- und Medienrecht sowie den gewerblichen Rechtsschutz spezialisiert ist. Der Verkehr wird somit über eine wesentliche Tatsache, nämlich das Tätigkeitsfeld der Klägerin, in die Irre geführt. Potentielle Mandanten im Bereich des gewerblichen Rechtsschutzes und im Urheber- und Medienrecht können davon abgehalten werden, die Mandatierung der Klägerin in Betracht zu ziehen, wenn als Tätigkeitsgebiet nur Arbeitsrecht angegeben ist.

Archivierung und Datenschutz: Bussgeld wegen Nichtlöschens von Daten

Quelle: https://informationgovernance.ch/archivierung-und-datenschutz-hohes-bussgeld-wegen-nichtloeschen-von-daten/

https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20191105-PM-Bussgeld_DW.pdf

Am 5.11.2019 wurde ein Bussgeldentscheid durch die Berliner Datenschutzbehörde erlassen. Die Aufsichtsbehörde hat festgestellt, dass das Unternehmen für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem verwendete, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu löschen.

Am 30.10.2019 wurde gegen die Deutsche Wohnen SE ein Bussgeldentscheid von rund 14.5 Mio. Euro wegen Verstössen gegen die DSGVO erlassen.

Die personenbezogene Daten von Mieterinnen und Mietern wurden, ohne zu überprüfen, ob eine Speicherung zulässig ist, gespeichert. Es handelt sich hierbei um Daten zu den persönlichen und finanziellen Verhältnissen der Mieterinnen und Mieter, wie z.B. Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge. Die fehlende Löschfunktionalität führt zu einer Verletzung der DSGVO.

Diesbezüglich war eine Verhängung eines Bussgeldes wegen eines Verstösses gegen Art. 25 Abs. 1 DSGVO sowie Art. 5 DSGVO für den Zeitraum zwischen Mai 2018 und März 2019 zwingend. Die Aufsichtsbehörde wird von der Datenschutz-Grundverordnung verpflichtet, sicherzustellen, dass Bussgelder nicht nur wirksam und verhältnismässig, sondern auch abschreckend sind.

Für die Bemessung von Geldbussen ist der weltweit erzielte Vorjahresumsatz als Anknüpfungspunkt zu berücksichtigen. Für die konkrete Bestimmung der Bussgeldhöhe hat die Berliner Datenschutzbeauftragte unter Berücksichtigung aller be- und entlastenden Aspekte die gesetzlichen Kriterien herangezogen.

Die Berliner Datenschutzbeauftragte erteilte dem Unternehmen neben dieser Sanktionierung noch weitere Bussgelder zwischen 6‘000 – 17‘000 Euro wegen der unzulässiger Speicherung personenbezogener Daten von Mieterinnen und Mietern in 15 konkreten Einzelfällen.

Der Entscheid ist bisher noch nicht rechtskräftig. Dagegen kann Einspruch erhoben werden.
________________________________________________________

BfDI: Busse von EUR 9.55 Mio. gegen einen Telecom-Provider

Quelle: https://datenrecht.ch/bfdi-busse-von-eur-9-5-mio-gegen-einen-telecom-provider/

https://www.bfdi.bund.de/SiteGlobals/Modules/Buehne/DE/Startseite/Pressemitteilung_Link/HP_Text_Pressemitteilung.html

Der deutsche Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat gegen den Telekommunikationsdienstleister 1&1 Telecom GmbH eine Busse von EUR 9.55 Mio. verhängt.

Der BfDI hatte Kenntnis erlangt, dass Anrufer bei der Kundenbetreuung des Unternehmens allein schon durch die Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Kundendaten erhalten konnten. Diesbezüglich sieht der BfDI einen Verstoss gegen Art. 32 DSGVO, wobei Unternehmen verpflichtet sind, geeignete technische und organisatorische Massnahmen zu ergreifen, damit die Verarbeitung von personenbezogenen Daten systematisch geschützt werden kann.

Im vorliegenden Fall hatte das Unternehmen keine hinreichenden technisch-organisatorischen Massnahmen ergriffen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können. 

________________________________________________________

E-Privacy: EU-Staaten lassen Verordnung scheitern, Kommission will Neustart

  Quelle: https://www.heise.de/newsticker/meldung/E-Privacy-EU-Staaten-lassen-Verordnung-scheitern-Kommission-will-Neustart-4603164.html

Die Verhandlungen zur E-Privacy-Verordnung sind nach knapp drei Jahren im Ministerrat in einer Sackgasse gelandet. Die Kommission will neu beginnen. Der Ausschuss der Ständigen Vertreter der Mitgliedstaaten (Coreper) hatte am 22. November 2019 den Kompromissvorschlag der finnischen Ratspräsidentschaft zurückgewiesen. Die Differenzen zwischen den EU-Staaten sind kaum überwindbar.

Eine eigene E-Privacy-Verordnung wurde von mehreren Regierungsvertretern infrage gestellt.  Ursprünglich sollte das Gesetz nach dem Willen der EU-Kommission bereits im Mai 2018 parallel mit der Datenschutz-Grundverordnung (DSGVO) in Kraft treten. Das Dossier betreffend Regeln für Nutzer-Tracking etwa für zielgerichtete Werbung, das Setzen von Cookies und dem Umgang mit Metadaten wie Verbindungs- oder Standortinformationen  war schon damals unter den Mitgliedstaaten zu sehr umkämpft.

Finnland hatte versucht, einen gemeinsamen Nenner zu finden. Zu den Optionen gehörten eine Vorratsdatenspeicherung oder Tracking durch Nachrichtenseiten ohne Zustimmung. Mehrere Staaten wie Deutschland oder Polen waren der Ansicht, dass der finnische Ansatz Innovationen in der datengetriebenen Wirtschaft behindern könnte. Österreich vertritt dieselbe Meinung. Dänemark, Spanien und Slowenien stellten sich hinter den Text aus Finnland und bedauerten, dass im Rat keine Einigung möglich war.

Thierry Breton, der EU-Kommissar für Binnenmarkt und Industrie kündigte an, einen ganz neuen Gesetzesentwurf vorlegen zu wollen. Die Kommission hatte den ersten Aufschlag Anfang 2017 gemacht. Das EU-Parlament wollte die Initiative vor zwei Jahren verschärfen und sprach sich für Tracking nur mit explizitem Opt-in der Nutzer aus.

Frühestens 2020 ist mit einem neuen Kommissionspapier zu rechnen. Bis dahin sind vor allem die Regelungen und Vorgaben aus der DSGVO anwendbar und entscheiden, die jedoch im Bereich der elektronischen Kommunikation lückenhaft sind.

________________________________________________________

SPK-SR: Beratungen der Vorlage für ein neues Datenschutzgesetz abgeschlossen

Quelle: https://datenrecht.ch/spk-sr-beratungen-abgeschlossen/

https://www.parlament.ch/press-releases/Pages/mm-spk-s-2019-11-20.aspx

Die Detailberatung der Vorlage für ein neues Datenschutzgesetz wurde von der Staatspolitischen Kommission des Ständerates (SPK-SR) abgeschlossen. Die Vorlage ist in der Gesamtabstimmung von der SPK-SR einstimmig angenommen worden und anschliessend an ihren Rat überwiesen, der sie somit in der Wintersession vom 2. bis 20. Dezember 2019 beraten kann.

In der Herbstsession 2019 wurde die Vorlage für ein neues Datenschutzgesetzes im Nationalrat beraten und kam danach in die SPK-SR.

Die SPK-SR folgte im Wesentlichen den Anträgen des Nationalrates. Doch in einigen Punkten werden Verschärfungen bzw. Erleichterungen vorgesehen. Die SPK-SR will den Begriff Profiling mit hohem Risiko explizit ins Gesetz aufnehmen. Unter diesem Begriff versteht die SPK-SR ein Profiling, das ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt, nämlich bei der systematischen Verknüpfung gewisser Merkmale einer Person, welche verschiedene Lebensbereiche einer natürlichen Person betreffen und bei einer systematischen und umfangreichen Bearbeitung von Daten, um Rückschlüsse auf verschiedene Lebensbereiche einer Person zu ziehen.

Weiter hat die SPK-SR vorgesehen, dass eine Verletzung der Datensicherheit nur dann vorliegen soll, wenn diese dazu führt, dass Personendaten unbeabsichtigt oder widerrechtlich verloren gehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden. Der Bundesrat hingegen wollte in jedem Fall, in welchem Personendaten in der umschriebenen Weise bearbeitet werden, eine Verletzung statuieren. Folgend soll die Einwilligung in Bezug auf ein Profiling nur bei einem solchen mit hohem Risiko ausdrücklich erfolgen.

Der Mindestinhalt im Rahmen der Informationspflicht ist auszuweiten und um eine Liste der Betroffenenrechte sowie die allfällige Absicht, Personen zur Bonitätsprüfung verwenden zu wollen, zu ergänzen. Die SPK-SR ist der Ansicht, dass die Rechte jener Personen, die einer Bonitätsprüfung unterzogen werden, gestärkt werden müssen. In diesem Sinne hat sie einstimmig die Bearbeitung von Daten eingeschränkt, die älter als fünf Jahre sind oder Minderjährige betreffen. Bezüglich des Auskunftsrechtes folgt die SPK-SR dem Bundesrat und lässt den Vorschlag des Nationalrates fallen, wonach ausschliesslich die Informationen mitzuteilen sind, welche die betroffene Person zur Geltendmachung ihrer Betroffenenrechte benötigt. Die SPK-SR hat einstimmig beschlossen, die Daten über gewerkschaftliche Ansichten oder Tätigkeiten wieder in die Liste der besonders schützenswerten Personendaten (Art. 4 Bst. c Ziff. 1 E-DSG) aufzunehmen und damit eine Differenz zum EU-Recht zu vermeiden. Zudem hat die SPK-SR beschlossen, die Ausnahme von der Informationspflicht bei unverhältnismässigem Aufwand aufzuheben, die vom Nationalrat eingeführt worden war.

Hinsichtlich eines Konzernprivilegs erfährt der Vorschlag der SPK-SR eine Neuerung. Die Einschränkung der Betroffenenrechte soll sowohl bei der Informationspflicht als auch beim Auskunftsrecht nur möglich sein, wenn Personendaten nicht Dritten bekannt gegeben werden. Die Datenflüsse zwischen Unternehmen, welche von derselben juristischen Person kontrolliert werden, sind davon ausgenommen. In einem solchen Fall ist eine Einschränkung zulässig. Als Rechtfertigungsgrund soll ein überwiegendes privates Interesse im Zusammenhang mit Datenbearbeitungen zur Stärkung der Wettbewerbsposition nur dann gelten, wenn die Daten nicht Dritten bekannt gegeben werden. Die konzerninterne Datenflüsse sind davon ausgenommen, ergo greift das überwiegende Interesse als Rechtfertigungsgrund.

Die SPK-SR will neu Verschärfungen bei Persönlichkeitsverletzungen und Rechtfertigungsgründen einführen. In jedem Fall, in welchem Personendaten Dritten bekanntgegeben werden, ist eine Persönlichkeitsverletzung anzunehmen. Die Bekanntgabe an Dritte soll jedoch nur mit ausdrücklicher Genehmigung der betroffenen Person erfolgen.

Eine Verletzung der Mindestanforderungen an die Datensicherheit soll entgegen dem Antrag des Nationalrates und gemäss ursprünglichem Vorschlag des Bundesrates sanktioniert werden können.

Zusammenfassend ist die Einführung des faktischen Konzernprivilegs und die damit einhergehende massive Verschärfung in Bezug auf Datenbekanntgaben an Dritte als wesentliche Neuerung. Es bleibt abzuwarten, ob die kleine Kammer diesen Anträgen tatsächlich folgen wird. Die SPK-SR verfolgt mit ihren Beschlüssen in erster Linie zwei Ziele: Die Schweizer Bürgerinnen und Bürger sowie Konsumentinnen und Konsumenten sollen im Zeitalter der Digitalisierung weiterhin über ein hohes Schutzniveau ihrer Daten verfügen, das im Vergleich zum geltenden Recht nicht herabgesetzt werden darf. Der Schutzstandard soll mit jenem vereinbar sein, der im einschlägigen EU-Recht vorgesehen ist, damit von einer Anerkennung der Äquivalenz des Schweizer Datenschutzrechts durch die EU ausgegangen werden kann.

__________________________________________________________________

Erste Anordnung wegen Verletzung der DSGVO gegen ein Unternehmen in der Schweiz

Quelle: https://datenrecht.ch/datenschutzbehoerde-oesterreich-anordnung-gegen-ein-unternehmen-in-der-schweiz/

Interne Verfasserin: MLaw Milica Stefanovic

In der Entscheidung vom 22. August 2019 hat die österreichische Datenschutzbehörde gegen ein Unternehmen mit Sitz in der Schweiz eine Anordnung wegen Verletzung der DSGVO erlassen (Entscheidung vom 22. August 2019, PDF). Das betroffene Unternehmen erbrachte Dienstleistungen in Österreich und betrieb dort auch Hotels sowie eine Website mit der Länderdomain .at. Im vorliegenden Fall war der Ausgangspunkt eine Werbe-E-Mail, nachdem es nach Kontakten nicht zu einer Buchung gekommen war.

Der schweizerische Verantwortliche hatte Personendaten über ein Kontaktformular erfasst, weshalb Art. 13 DSVO zur Anwendung kam. Die Datenschutzbehörde sah Art. 3 Abs. 2 lit. a DSGVO als erfüllt. Der Verantwortliche hatte den Betroffenen nicht darauf hingewiesen, dass die erforderlichen Angaben auf einer Website verfügbar waren. Hiermit war die Informationspflicht verletzt. Die Angabe eines „Datenschutzverantwortlichen“ war ungenügend, da die DSGVO diesen Begriff nicht kennt. Diesbezüglich seien die Angaben nicht ausreichend gewesen. Die fehlenden Informationen sind nach der Anordnung der Behörde binnen vier Wochen einzureichen.  
__________________________________________________________________

Polnische Aufsichtsbehörde: Busse betreffend Widerruf von Einwilligungen

Quelle: https://datenrecht.ch/polnische-aufsichtsbehoerde-busse-betr-widerruf-von-einwilligungen/

Gegen einen Marketingdienstleister wurde von der polnischen Aufsichtsbehörde ein Bussgeld von umgerechnet CHF 50'000 verhängt. Der Grund für die Busse war die vorsätzliche Unterlassung von angemessenen Massnahmen, um den Widerruf der Einwilligung nach Art. 7 DSGVO und das Recht auf Löschung nach Art 12 und 17 DSGVO zu ermöglichen.

Die Informationen dazu waren irreführend und ein Widerruf war nur mit Angabe einer Begründung möglich, was unzulässig sei.

  __________________________________________________________________

Spanische Aufsichtsbehörde: Leitfaden zu Privacy by Design

Quelle: https://datenrecht.ch/spanische-aufsichtsbehoerde-leitfaden-zu-privacy-by-design/

Ein Leitfaden zu Privacy by Design wurde von der spanischen Aufsichtsbehörde veröffentlicht (https://www.aepd.es/media/guias/guia-privacidad-desde-diseno_en.pdf). Die Behörde geht von den folgenden Grundsätzen bzw. «foundational principles» aus:

1.     Proactive not Reactive; Preventative not Remedial

2.     Privacy as the Default Setting

3.     Privacy Embedded into Design

4.     Full Functionality: Positive-Sum, not Zero-Sum

5.     End-to-End Security: Full Lifecycle Protection

6.     Visibility and Transparency: Keep it Open

7.     Respect for User Privacy: Keep it User-Centric

Die Behörde hält anschliessend fest, dass die Pflicht zu Privacy by Design den Verantwortlichen, nicht den Dienstleister betrifft. Die Dienstleister sind indirekt betroffen, indem ihre Kunden für deren Compliance auf entsprechend ausgestaltete Produkte angewiesen sein können.

Im zweiten Teil des Leitfadens werden die datenschutzrechtlichen Anforderungen an die Gestaltung von Datenverarbeitungssystemen erläutert. Diesbezüglich werden die datenschutzrechtlichen Grundsätze in drei übergeordnete Schutzziele eingeordnet:

1. Nichtverkettbarkeit: 
1. Datenminimierung
2. Speicherbegrenzung
3. Integrität und Vertraulichkeit
2. Transparenz 
1. Rechtmässigkeit, Fairness und Transparenz
2. Zweckbindung
3. Kontrolle 
1. Zweckbindung
2. Richtigkeit
3. Integrität und Vertraulichkeit
4. Rechenschaftspflicht (Accountability)

Die Schutzziele, Integrität, Vertraulichkeit und Verfügbarkeit, sind enthalten, weil die Datensicherheit ein datenschutzrechtliches Gebot ist. Die Einteilung der Behörde ist nicht neu, da sie sich zum Teil mit dem deutschen Standard-Datenschutzmodell (SDM), mit dem die Einhaltung der datenschutzrechtlichen Anforderungen systematisch überprüfbar wird, deckt. Das Konzept der Schutzziele wurde im Jahr 2019 von der deutschen Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSBK) verabschiedet. Erst 2015 wurde das SDM in Form eines Handbuchs veröffentlicht.

Die aktuelle Version 2.0 wurde von der 98. Konferenz der DSBK vom 5. bis 7. November 2019 beschlossen (https://www.datenschutzzentrum.de/uploads/sdm/SDM-Methode.pdf).

  __________________________________________________________________

DSGVO: Das müssen die Unternehmen bei Verstössen wirklich zahlen

Quelle: https://www.internetworld.de/technik/dsgvo/dsgvo-unternehmen-verstoessen-wirklich-zahlen-2150347.html

https://www.vienna.at/datenskandal-18-millionen-euro-strafe-fuer-die-post/6406717

https://www.internetworld.de/technik/dsgvo/deutsche-wohnen-verstoesst-dsgvo-2274759.html?utm_source=iwb_de_nl&utm_campaign=Deutsche_Wohnen_verstößt_gegen_die_DSGVO_06112019&utm_medium=email

Die neue Datenschutzverordnung (DSGVO) trat im Mai 2018 in Kraft. Bei Verstössen gegen die DSGVO kann es zu Bussgeldzahlungen kommen. Bislang wusste aber niemand genau, in welchem Bereich eine individuelle Geldbusse liegt. Am 14. Oktober 2019 haben sich die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder auf ein einheitliches Verfahren zur zukünftigen Bussgeldzumessung gegenüber Unternehmen verständigt.

Durch das einheitliche Verfahren soll eine transparente und einzelfallgerechte Form der Bussgeldzumessung garantiert werden. Die Bussgeldbemessung erfolgt in drei Schritten:

1. Wirtschaftlicher Grundwert: Anhand einer Tabelle und auf Basis des weltweit erzielten Vorjahresumsatzes des Unternehmens wird der wirtschaftliche Grundwert ermittelt. Dabei sind die verschiedenen Grössenklassen A,B,C und D zu berücksichtigen, angefangen vom Kleinstunternehmen über kleine und mittlere Firmen bis hin zu grossen Unternehmen. Die kleinste Kategorie ist A.I und beinhaltet Firmen mit einem Jahresumsatz von bis zu 700.000 Euro. Die grösste Klasse ist D.VII mit einem Jahresumsatz von über 500 Millionen Euro. (Tabelle: https://digital.internetworld.de/wp/oracle/spreadsheet/)

2. Multiplikationsfaktor: An den ermittelten wirtschaftlichen Grundwert wird ein Multiplikationsfaktor angelegt. Der Faktor bemisst sich an der Art, Schwere und Dauer des Verstosses. Bei formellen Verstössen, wie fehlende Vereinbarung über eine Auftragsverarbeitung, wird der Faktor einen Wert zwischen eins und sechs haben. Bei einem materiellen Verstoss, wie unzureichende Umsetzung von Betroffenenrechte, kann sich der Faktor bis auf den Wert 12 erhöhen. Bei einem sehr schweren Verstoss liegt der Wert bei 14,4 (vier Prozent des Jahresumsatzes).

3. Individuelle Anpassung: Der berechnete Betrag wird dann unter Berücksichtigung aller sonstigen Umstände, wie täterbezogene Kriterien, für den Einzelfall angepasst. Die lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens ist auch zu berücksichtigen.

In Zukunft muss man auf Basis dieses Models mit weitaus höheren Sanktionen rechnen. Die Datenschutzkanzlei Herting Oberbeck skizziert zwei Beispielsfälle:

"Ein Unternehmen hat einen Jahresumsatz von 800.000 Euro (Grundwert: 2.917 Euro). Das Unternehmen beschäftigt verschiedene Auftragsverarbeiter, ohne mit diesen die erforderlichen Verträge abgeschlossen zu haben. Dies könnte als Verstoß gegen formelle Vorgaben mit einem Faktor von vier bewertet werden. Damit würde sich vor einer gegebenenfalls vorzunehmenden Anpassung im Einzelfall ein Bußgeld in Höhe von 11.668 Euro ergeben“.

"Ein Unternehmen mit einem Jahresumsatz von 28.000.000 Euro (Grundwert: 76.389 Euro) erhebt Daten auf Grundlage einer unwirksamen Einwilligung. Da dies einen Verstoß gegen materielle Vorgaben darstellt, könnte hier ein Faktor von sechs angelegt werden. Ausgangsbetrag des zu verhängenden Bußgeldes wären damit bereits 458.334 Euro."

Die Gerichte sind nicht an diese Berechnung gebunden, da es sich bislang nur um die Grundlage für die Berechnung von Bussgeldern durch die Datenschutzbehörden handelt. Das Modell gilt nur für Unternehmen in Deutschland und nicht für einen gemeinnützigen Verein. Die Berechnung soll gelten, bis der Europäische Datenschutzausschluss endgültige Leitlinien erlassen hat.

Datenskandal: 18 Millionen Euro Strafe für die Post: Ein aktuelles Beispiel hierfür ist die Österreichische Post, die nach Datenskandal 18 Millionen Euro Strafe zu zahlen hat. Dies teilte die Datenschutzbehörde am Dienstag, 29.10.2019, nach Durchführung eines ordentliches Verwaltungsstrafverfahrens mit Straferkenntnis vom 23. Oktober 2019, mit. Die Rechercheplattform Addendum hatte im Januar berichtet, die Österreichische Post verkaufe Datensätze von rund drei Millionen Kunden mit Namen, Adresse, Alter und Geschlecht an andere Unternehmen für Marketingzwecke. Die Weitergabe von Daten hat für die Post weitreichende Folgen. Die Datenschutzbehörde hat die Post zu einer Zahlung verurteilt, doch das Straferkenntnis ist noch nicht rechtskräftig. Die Post will dagegen Berufung einreichen, da es sich ihrer Ansicht nach bei den Prognosen um statistische Hochrechnungen und nicht um tatsächliche Daten handelt und die Daten schon gelöscht sind. Gemäss der Datenschutzverordnung liege eine Rechtsverletzung vor, wenn die Post statistische Wahrscheinlichkeiten über die Parteiaffinität erstelle. Die Rechtsverletzungen wurden rechtswidrig und schuldhaft begangen, weshalb die Verwaltungsstrafe in oben genannter Höhe angemessen war, um andere bzw. gleichartige Rechtsverletzungen hintanzuhalten. Die Strafe der Datenschutzbehörde gegen die Österreichische Post zählt zu den höchsten Geldbussen der EU. Seit Inkrafttreten der DSGVO habe es nur drei höhere Strafen gegeben, 205 Mio. Euro gegen British Airways, 110 Mio. Euro gegen Marriott und 50 Mio. Euro gegen Google. Die Strafhöhe von 18 Mio. Euro lasse sich durch die hohe Anzahl der Betroffener sowie den Umsatz der Post erklären.

Deutsche Wohnen verstösst gegen die DSGVO: Am 5.11.2019 hat ausserdem die Berliner Datenschutzbeauftragte ein Bussgeld in Höhe von 14,5 Millionen Euro gegen die Deutsche Wohnen verhängt. Es soll ein Verstoss gegen die DSGVO vorliegen, in dem die Wohnungsgesellschaft mit Sitz in Berlin widerrechtlich Daten von Mieterinnen und Mieter gesammelt und archiviert haben soll, was gegen die Vorgaben der DSGVO verstosse. Die Bussgeldentscheidung ist noch nicht rechtskräftig. Die Aufsichtsbehörde hat im Juni 2017 und im März 2019 ein unzulässiges Archivsystem vorgefunden, welches zur Speicherung personenbezogener Daten von Mieterinnen und Mieter eingesetzt wurde. Das Archivsystem wurde trotz Empfehlung von der Datenschutzbeauftragte nicht überarbeitet. Die Höhe der Strafe richtet sich unter anderem am Umsatz des jeweils betroffenen Unternehmens aus. Im Fall der Deutsche Wohnen, die für 2018 einen Jahresumsatz von über einer Milliarde Euro ausgewiesen hatte, belaufe sich die Bussgeldbemessung auf etwa 28 Millionen Euro. Von der maximalen Bussgeldhöhe ist der behandelte Verstoss demnach noch weit entfernt.

_____________________________________

Absage an Hilfs-Sheriffs und Dauerfilmer im Strassenverkehr

Quelle: https://www.srf.ch/news/schweiz/urteil-zu-dashcams-absage-an-hilfs-sheriffs-und-dauerfilmer-im-strassenverkehr?wt_mc_o=srf.share.app.srf-app.email

Das Urteil setzt Schranken für die Verwendung von Dashcam-Bildern und zeigt: Die Verkehrskontrolle obliegt dem Staat. Ein grosses Interesse bestehe in der Gesellschaft, nicht beliebig oder ständig überwacht zu werden in der Öffentlichkeit. Die Haltung des Eidgenössischen Datenschutzbeauftragten wird von der bundesgerichtlichen Feststellung gestützt.

Im vorliegenden Fall überholte eine Autolenkerin auf der A51 bei Bülach ein anderes Auto, fuhr rechts vorbei und wechselte knapp vor dem anderen Auto wieder auf die Überholspur. Dies geschah alles in einem Baustellenbereich. Der überholte Autolenker hatte eine Dashcam hinter der Windschutzscheibe befestigt.

Die Frau wurde angezeigt und die Zürcher Justiz verurteilte sie zu einer bedingten Geldstrafe und einer Busse. Die Verwertung der Bilder war bereits bei dieser Verurteilung heikel. Die Zürcher Justiz sah es als Persönlichkeitsverletzung an, dass die Beschuldigte gefilmt wurde. Doch das Interesse des Staates, den Verdacht gegen die Beschuldigte zu klären, überwiegte in diesem konkreten Fall. Das Zürcher Obergericht hielt somit fest, dass die Aufnahme verwertbar ist.

Das Urteil des Zürcher Obergerichts wurde vom Bundesgericht aufgehoben. Bei der Tathandlung handle es sich um keine schwere Straftat und Dashcam-Aufnahmen dürften nur bei schweren Straftaten angewendet werden.

Der Eidgenössische Datenschutzbeauftragter hat seit längerem auf einem Merkblatt zu Dashcams festgehalten, dass die Aufnahmen von Dashcams weder zur Unterhaltung noch als Beweismittel in Bagatellfällen, wie beispielsweise alltägliche, riskante Manöver im Strassenverkehr, herangezogen werden sollten.

Das Bundesgerichtsurteil gibt Anlass zur Erinnerung, dass es rechtswidrig ist, den Strassenverkehr inklusive Personen und Nummernschildern ständig zu filmen. Es gibt Kameras, die durch Beschleunigungssensoren die Aufnahme auslösen, aber auch diejenige, welche die Bilder nur verschlüsselt speichern oder andere, welche die Bilder laufend löschen oder überschreiben. Diese Aufnahmen können von den Strafverfolgungsbehörden nur dann verwendet werden, wenn der Fall genügend gravierend ist. Ansonsten liegt keine Rechtfertigung für den Eingriff in die Persönlichkeitsrechte der gefilmten Personen vor.

_____________________________________

Versendung von unverschlüsselten E-Mails bei Berufsgeheimnisträger

Quelle: https://www.datenschutzbeauftragter-info.de/wp-content/uploads/2018/02/schreiben-der-aufsichtsbehoerde.pdf

Die Versendung von unverschlüsselten E-Mails betrifft vor allem Berufsgeheimnisträger, wie z.B. Apotheker, Ärzte und Rechtsanwälte. Diesbezüglich stellt sich die Frage, ob eine Pflicht zur Versendung von verschlüsselten E-Mais für Berufsgeheimnisträger besteht.

Der Hamburgische Beauftragte für Datenschutz und Informationssicherheit setzt sich mit den Fragen der Verschlüsselung von E-Mails auseinander. Es geht darum, dass technische und organisatorische Massnahmen bei der Verarbeitung personenbezogener Daten nicht bzw. nicht ausreichend eingehalten werden, indem E-Mails, die personenbezogene Daten enthalten, unverschlüsselt versandt werden. In den berufsrechtlichen Vorschriften BORA und BRAO sind keine spezialgesetzlichen Regelungen zum Umgang mit personenbezogenen Daten bei der Versendung von E-Mails ersichtlich. Die Verschwiegenheitspflicht der Rechtsanwaltschaft ist als Grundpflicht in § 43 a Abs. 2 BRAO und § 2 Abs. 1 BORA geregelt. Eine ausdrückliche Regelung zum technischen und organisatorischen Umgang bei der Verarbeitung personenbezogener Daten ist nicht gegeben.

Das Bundesdatenschutzgesetz kommt hier zur Anwendung, da Rechtsanwälte keine öffentlichen Stellen sind. Die nicht-öffentlichen Stellen sind gemäss § 9 BDG verpflichtet, bei der Erhebung, Verarbeitung oder Nutzung personenbezogenen Daten, die in der Anlage zu § 9 Satz 1 BDSG genannten Anforderungen zu gewährleisten. Die Anlage zu § 9 Satz 1 Nr. 4 BDSG bestimmt ausdrücklich, dass personenbezogene Daten bei der elektronischen Übertragung (...) nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (…). Eine Massnahme nach Satz 2 Nummer 2 bi 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.

Die zu treffenden Massnahmen sind einerseits durch Abwägung zwischen Schutzbedarf und anderseits dem Aufwand festzustellen, das heisst, je höher der Schutzbedarf ist, desto höher muss auch der Aufwand sein, um die Daten entsprechend vor Zugriffen Dritter zu schützen. Demzufolge ist ein sicherer Kommunikationskanal nicht nur für Online-Banking, Online-Shopping und e Government-Dienste, sondern auch für E-Mail und alle anderen Web-basierten Anwendungen unabdingbar. Personenbezogene Daten sind durch die Verschlüsselung, als sicherste Möglichkeit, zu schützen. Die elektronische Übertragung sensibler personenbezogener Daten ohne Verschlüsselung per E-Mail scheidet aus, auch wenn der Betroffene explizit um die Übersendung per E-Mail bittet.

Bei den Verschlüsselungsarten unterscheidet man zwischen Transportverschlüsselung und der Ende-zu-Ende Verschlüsselung. Die Ende-zu-Ende Verschlüsselung wird aus datenschutztechnischer Sicht bevorzugt.  In der Schweiz ist diese Art von Verschlüsselung zwischen Mitarbeiter und externen Personen aufgrund Missbrauchsgefahr (Viren, Verletzung des Geschäftsgeheimnisses), der Verfügbarkeitsprobleme bei archivierten, geschäftsrelevanten E-Mails sowie durch die Verhinderung der Geschäftskontrolle im Firmenumfeld nicht erwünscht. Eine zentrale Appliance im Unternehmen sollte für Ver- und Entschlüsselungen zuständig sein. (https://www.hin.ch/ueber-hin/hin-welt/hin-und-der-datenschutz/rechtliche-aspekte-der-mail-verschluesselung/ zuletzt besucht am 21.08.2019). Es soll für jedermann im Internet ein „sicherer, vertraulicher und nachweisbarer Geschäftsverkehr sichergestellt werden“ (§ 1 Abs. 1 De-Mail-Gesetz).

Doch nach dem neuen geltenden Recht der DSGVO sieht es anders aus. Die europäische Regelung hat zum Ziel, den Schutz von EU-Bürgern auch durch Dienstleistungserbringer ausserhalb der EU sicherzustellen (Peter Christian, DSGVO und E-DSG fordern Schweizer Spitäler, Praxen, Heime und Spitex, in: Jusletter 26. Februar 2018). Es liegt eine gesetzliche Verankerung der Gewährleistung von Datensicherheit vor und sie stellt die Bedeutung des technischen und organisatorischen Datenschutzes heraus (vgl. Art. 5 Abs. 1f und Art. 32 DSGVO). Ein Verstoss gegen technisch-organisatorische Massnahme wird somit mit Geldbussen sanktioniert (vgl. Art. 83 DSGVO).

Schliesslich kann festgehalten werden, dass für Angehörige von Berufsgruppen, die auch einer strafrechtlich sanktionierten Schweigepflicht nach § 203 StGB unterliegen, die unverschlüsselten E-Mails ein sehr ungeeignetes Kommunikationsmittel darstellen.

Der Sächsische Landesdatenschutzbeauftragte hat in seinem aktuellen Tätigkeitsbericht (https://www.saechsdsb.de/images/stories/sdb_inhalt/noeb/taetigkeitsberichte/8-TB-Endfassung-Version-5.pdf) ebenfalls auf die Pflicht zur Verschlüsselung bei E-Mails von Berufsgeheimnisträgern aufmerksam gemacht, wenn diese sensible personenbezogene Daten enthalten. Seines Erachtens nach handelt es sich hierbei, wie ausgeführt, um besondere Arten von personenbezogenen Daten i.S.v. § 3 Abs. 9 BDSG, die den Anforderungen der Nr. 4 der Anlage zu § 9 BDSG nicht entsprechen würden. Die Verschlüsselung wird oftmals aufgrund des vermeintlich hohen Aufwands und den Kosten nicht in Erwägung gezogen.

In der Schweiz ist der Schutz der Privat- und Geheimsphäre bereits durch Art. 13 der Bundesverfassung gewährleistet, wonach jeder Anspruch auf Schutz vor Missbrauch ihrer persönlichen Daten hat. Das schweizerische Strafgesetzbuch regelt wie das deutsche Strafgesetzbuch in Art. 320 ff. StGB die Berufsgeheimnisse. Datenschutzrechtlich ist Art. 35 DSG (vgl. Art. 56 E-DSG auf europäischer Ebene) relevant, betreffend Verletzung der beruflichen Schweigepflicht. Diesbezüglich wird man auf Antrag mit Busse bestraft. Im Gegensatz zu Art. 321 StGB muss man nach Art. 35 DSG keiner bestimmten Berufsgruppe angehören. Aufgrund des Vertrauensverhältnisses zu den Klienten werden Berufsgeheimnisträger gesetzlich und standesrechtlich in die Pflicht genommen. Die Sanktionierung bei der Verletzung des Berufsgeheimnisses kann mit einer Freiheitsstreife von drei Jahren oder mit einer Geldstrafe erfolgen. Nur die vorsätzliche Offenbarung der anvertrauten Geheimnisse wird bestraft. Den Schutz geniessen sowohl die natürlichen wie auch die juristischen Personen. Die E-Mails haben einen mehrfachen Bezug zu Personendaten. Durch die E-Mails werden oft persönliche Informationen versendet. Die Anforderungen für die angemessene Informationssicherheit sind in Art. 7 DSG statuiert. Darauffolgend wird verlangt, dass Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. Damit die Anforderungen gewährleistet werden, müssen Mitteilungen mit sensiblen personenbezogenen Daten vor ihrer Übermittlung verschlüsselt werden. Sofern solche Daten unverschlüsselt versendet werden, wird die Persönlichkeit der betroffenen Personen verletzt. Solche Persönlichkeitsverletzungen können Schadenersatz- und Genugtuungsansprüche sowie Rufschädigung zur Folge haben. (https://www.hin.ch/ueber-hin/hin-welt/hin-und-der-datenschutz/rechtliche-aspekte-der-mail-verschluesselung/ zuletzt besucht am 21.08.2019)

Die Datenschutzbehörde Österreich hat mit Beschluss vom 16.11.2018 (Az. DSB-D213.692/001-DSB/2018) entschieden, dass eine Arztpraxis diverse Pflichten nach der DSGVO verletzt, indem sie unter anderem mit der von ihr verwendeten Einwilligungserklärung zur Datenverarbeitung keine gesetzeskonforme Einwilligung zur Verarbeitung von Patientendaten eingeholt hat und die Einwilligung durch unverschlüsselten Versand eingeholt hat. Wie bereits erläutert, handelt es sich bei Art. 32 DSGVO um eine der Datensicherheitsmassnahmen, ob eine Übermittlung in verschlüsselter oder unverschlüsselter erfolgen soll. Art. 32 DSGVO stellt nach dem Wortlaut die Sicherheit der Datenverarbeitung als zwingende Pflicht dar, welche darüber hinaus auch in Art. 5 Abs. 1 lit. f DSGVO als Grundsatz für die Verarbeitung personenbezogener Daten festgehalten ist. Die Einwilligung zur Datenverarbeitung darf somit nicht an eine Zustimmung zur unverschlüsselten Übermittlung von Daten geknüpft sein. Die Verpflichtung zur verschlüsselten Übermittlung kann nicht mit einer Einwilligungserklärung von betroffenen Personen umgangen werden. Schliesslich ist die Einwilligung der betroffenen Personen zur unverschlüsselten Übermittlung von Daten unzulässig und unwirksam. Die Einwilligung dient nicht dazu, eine Rechtsgrundlage für die Datenverarbeitung zu schaffen, sondern um von – gegebenfalls erforderlichen – Datensicherheitsmassnahmen zum Nachteil von Betroffenen abweichen zu können. Der Beschluss ist mittlerweile rechtskräftig.

 __________________________________________________________________ 

Apple Datenschutzrichtlinie teilweise rechtswidrig

Urteil des KG Berlin vom 27.12.2019 - Quelle: https://shopbetreiber-blog.de/2019/07/26/kg-apple-datenschutzrichtlinie-teilweise-rechtswidrig/

Das Berliner KG hat mit Urteil 23 U 196/13 vom 27.12.2018 entschieden, dass zahlreiche Klauseln der von Apple im Jahr 2011 verwendeten Datenschutzrichtlinien gegen die DSGVO verstossen. Im Jahr 2013 hatte bereits das LG Berlin acht Klauseln dieser Datenschutzrichtlinie für unzulässig erklärt. Apple hat diesbezüglich Berufung eingelegt.

Apple hatte sich in der Datenschutzerklärung umfangreiche Datenverarbeitungsrechte eingeräumt und die vermeintliche Zustimmung des Kunden durch eine voreingestellte Checkbox eingeholt. Aufgrund dieser Darstellung ergebe sich, nach der Ansicht der Verbraucherzentrale Bundesverband, für den Verbraucher der Eindruck, dass die Bestimmungen in den Klauseln Rechtsregeln enthielten, die Bestandteil des Vertrages werden würden. Diesbezüglich handelt es sich bei der Datenschutzerklärung um eine unzulässige AGB.

Nach der Bestätigung des KG ist bei den angegriffenen Klauseln um Allgemeine Geschäftsbedingungen die Rede. Es ist jedoch immer darauf abzustellen, wie ein objektiver Dritter die Klauseln verstehen würde.

In diesem Fall vermittelt die Überschrift der Klauseln den Eindruck, dass die enthaltenen Erklärungen Rechtsregeln enthalten und nicht als blosse Tatsachenmitteilungen zu verstehen sind.

Die Kunden wurden benachteiligt, weil die Klauseln mit der gesetzlichen Regelung nicht vereinbar und somit gegenüber Apple-Kunden unangemessen waren. Diesbezüglich musste das KG die DSGVO für die Beurteilung der Unangemessenheit der Benachteiligung anwenden.

Art. 6 Abs. 1 DSGVO enthält die Voraussetzungen, unter denen die Datenverarbeitung rechtmässig ist. Bei einer der Klauseln handelt es sich um die Datenverarbeitung, wo der Kunde Geschenkgutscheine oder Produkte an Freunde und Bekannte verschickt und dazu seine persönliche Daten wie Name, Adresse, E-Mail oder Telefonnummer angeben muss. Das Gericht entschied diesbezüglich, dass die Verarbeitung  für die Erfüllung des Vertrags erforderlich im Sinne des Art. 6 Abs. 1 lit. b DSGVO und damit rechtmässig sei.

Bei den anderen Klauseln war dieses Erforderlichkeitskriterium nicht gegeben. Die Rechtmässigkeit konnte somit nur durch die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO eingeholt werden

Schliesslich lässt sich festhalten, dass die Klauseln der Apple-Datenschutzrichtlinie unzulässig waren und der Unterlassungsanspruch der Verbraucherzentrale Bundesverbands begründet war.

__________________________________________________________________ 

KG: Widerrufsrecht gilt auch für Medikamente

Urteil des KG vom 9.11.2019 - Quelle: https://shopbetreiber-blog.de/2019/07/25/kg-widerrufsrecht-gilt-auch-fuer-medikamente/

Das KG hat mit Urteil 5 U 185/17 vom 09.11.2018 entschieden, dass Arzneimittel nicht generell vom Widerrufsrecht ausgeschlossen sind.

Das Gesetz kennt in § 312g BGB einige Ausnahmen vom Widerrufsrecht. Der generelle Ausschluss für Verträge über die Lieferung von Arzneimittel ist im Gesetz nicht vorgesehen.

In unserem Fall hat die Beklagte (Online Apotheke DocMorris in Niederlanden) in ihren AGB Medikamente vollständig vom Widerrufsrecht ausgenommen. Die Klägerin (Verbraucherzentrale Bundesverband) klagte auf Unterlassung. Schliesslich wurde die Beklagte vom LG Berlin zur Unterlassung und Zahlung verurteilt.

Die Beklagte ist eine Apotheke mit Erlaubnis zum Versand apothekenpflichtiger Arzneimittel nach § 11a des Apothekengesetzes. Die Einfuhr muss somit nach § 73 Abs. 1 Nr. 1a AMG den deutschen Vorschriften entsprechen. Die Beklagte berief sich demzufolge auf einen ungerechtfertigten Eingriff in die europäische Warenverkehrsfreiheit.

Auf der Webseite wurde die Telefonnummer der Kunden nicht eingeholt, obwohl die Apotheke im Versandhandel diesbezüglich verpflichtet ist, damit eine kostenlose Beratung durch pharmazeutisches Personal der Apotheke erfolgen kann. Das KG war einer anderen Ansicht betreffend Eingriff in die europäische Warenverkehrsfreiheit. Die Telefonnummerpflicht gilt für Beklagte gleichermassen wie für inländische Versandhandelsapotheken. Für die Belieferung ist das Erfragen der Telefonnummer eine Voraussetzung.

Der generelle Ausschluss der Arzneimittel vom Widerrufsrecht ist unzulässig. Fraglich ist, ob verschriebene Fertigarzneimittel von § 213g Abs. 2 Nr. 1 BGB erfasst sind, wobei bei Verträgen zur Lieferung von Waren, die eindeutig auf die persönlichen Bedürfnisse des Verbrauchers zugeschnitten sind, kein Widerrufsrecht besteht. Das Gericht bezweifelte, dass Fertigarzneimittel unter § 312g Abs. 2 Nr. 1 BGB subsumiert werden können.

Doch nach § 312g Abs. 2 Nr. 2 BGB ist das Widerrufsrecht bei Waren ausgeschlossen, die schnell verderben können oder deren Verfallsdatum schnell überschritten würde. Das Gericht hat auch diese Massnahme ausgeschlossen. Die zurückgegebenen Medikamente gelten im Grosshandel nach § 7b Abs. 2 S. 1 AMHandelsV nicht mehr als verkehrssicher.

Das Gericht war der Ansicht, dass Arzneimittel keine Waren sind, die generell schnell verderben können. Die Annahme eines «rechtlichen Verderbens» erscheint als eine semantische Kunstkonstruktion, die aber dem Gesetzeswortlaut und dem erkennbaren Gesetzgeberwillen, ein generelles Widerrufsausschlussrecht hier gerade nicht herzugeben ersichtlich zuwiderläuft.

Im Einzelfall könne der Ausschluss des Widerrufsrechts bei erfolgter Entfernung des Siegels bei Gesundheits- oder Hygieneartikeln nach § 312g Abs. 2 Nr. 3 BFB eingreifen, jedoch nicht immer. 

__________________________________________________________________ 

Google hat Kunden nicht richtig über Widerrufsrecht informiert

Urteil des LG Köln vom 21.05.2019 - Quelle: https://www.onlinepc.ch/mobile/apps/play-store-google-kunden-richtig-widerrufsrecht-informiert-1736610.html

Grundsätzlich geht es darum, dass Verbraucher den online Kauf innerhalb von 14 Tagen widerrufen können. Dies macht jedoch bei einem Kauf eines Kinofilm-Downloads keinen Sinn, denn der Film in der Regelt innert 14 Tagen gesehen wird. Diesbezüglich entfällt das Widerrufsrecht für Fälle, in denen ein „Ausprobieren“ der Ware schon Konsum bedeutet. Die Verbraucherzentrale NRW ist der Ansicht, dass der Download der gekauften digitalen Ware nicht automatisch beginnen dürfe, sondern vorher vom Kunden bestätigt werden müsse. Der Kunde muss vor dem Kauf und der Zustimmung zum Download explizit darüber informiert werden, dass das Widerrufsrecht mit Abschluss des Downloads erloschen sei. Folgend dieser Ansicht hat Google die Kunden darüber nicht richtig informiert.Google vertritt die Meinung, dass vor dem Kaufen der Hinweis, „wenn du auf „Kaufen“ klickst, stimmst du den Google Play-Nutzungsbedingungen zu. Du stimmst ausserdem zu, dass deine Bestellung sofort ausgeführt wird und du damit dein gesetzliches Widerrufsrecht verlierst (...)“ erfolgt ist.Die Kölner Richter schliessen sich der Ansicht der Verbraucherzentrale an. Das Urteil ist vorläufig nicht rechtsgültig. Folglich ist unklar, welche Widerrufsfrist für die Online-Käufe dann gilt, die bereits abgewickelt wurden. 

__________________________________________________________________ 

Schadenersatzansprüche aus dem Kauf eines gebrauchten Kraftfahrzeugs bei Ebay

Endurteil des OLG München vom 12.06.2019 - 7 U 1630/18 - Quelle: https://www.jurpc.de/jurpc/show?id=20190086

Das OLG München hat mit Endurteil vom 12.06.2019 entschieden, dass es sich beim gebrauchten Kraftfahrzeug um einen normalen Verschleiss handelt, der keinen Sachmangel darstellt. Ausserdem liege ein Gewährleistungsausschluss vor. Die Berufung der klagenden Partei ist unbegründet, weswegen sie vom Landgericht abgewiesen wurde. Es besteht kein Schadenersatzanspruch, da die Parteien einen Gewährleistungsausschluss vereinbart haben und das Fahrzeug somit der vertraglich vereinbarten Beschaffenheit entsprach. 

Im vorliegenden Fall wurde auf der Ebay Anzeige angegeben, dass es sich um einen Verkauf aufgrund des Baujahres 1996 handelt und es sich um ein Bastlerfahrzeug handelt. Ausserdem wurde noch zwischen den Parteien auch eine Beschaffenheitsvereinbarung getätigt, wonach die Sache frei von Sachmängeln ist, wenn sie beim Gefahrübergang die vereinbarte Beschaffenheit hat. Da eine solche Vereinbarung vorliegt, ist fraglich, ob sich der Verkäufer bzw. der Beklagte auf den Gewährleistungsausschluss berufen kann. Eine Beschaffenheitsvereinbarung und der Sachmängelausschluss stehen gleichrangig nebeneinander, was bedeuten würde, dass der Käufer sich nicht darauf berufen kann. Mit der Bezeichnung «Bastlerfahrzeug» ändert sich somit an der Beschaffenheitsvereinbarung nichts, denn bei einem Kaufpreis von 10.500,00 Euro kann auch bei einem 20 Jahre alten Fahrzeug nicht mehr angenommen werden, dass es ausschliesslich zum «Herumschrauben» verwendet wird. 

Sofern das Fahrzeug als «fahrbereit» bezeichnet wurde, gilt gemäss der Rechtsprechung des BGH, dass das Fahrzeug nicht verkehrsgefährdende Mängeln aufweisen darf (Urteil vom 22.11.2006 - VIII ZR 72/06, Rdnr. 21). Das Fahrzeug ist nach der Übergabe mehrere hundert Kilometer gefahren, wobei eine längere Fahrtstrecke angenommen werden darf und die Beschaffenheitsvereinbarung «fahrbereit» somit erfüllt wurde. Demzufolge hat der Kläger keinen Schadenersatzanspruch, denn das Fahrzeug entspricht der Beschaffenheit und ein Gewährleistungsausschluss wurde ausserdem noch vereinbart. 

__________________________________________________________________ 

Auskunftsrecht über Bestandsdaten

Das OLG Nürnberg hat mit Urteil 3 W 1470/19 vom 17.07.2019 entschieden, dass das Auskunftsrecht unter folgenden Voraussetzungen erteilt werden kann: Die Auskunft dient zur Durchsetzung zivilrechtlicher Ansprüche wegen der Verletzung absolut geschützter Rechte und das Vorgehen betrifft rechtwidrige Inhalte. Ausserdem muss der Anspruchsgegner ein «Soziales Netzwerk» im Sinne von § 1 Abs. 1 S. 1 NetzDG sein. 

Die Antragsteller (Betreiber der Zahnarztpraxis) fordern die Antragsgegnerin (Betreiberin von «Google Maps») zur Löschung der Bewertung und Auskunftserteilung auf. Die Antragsgegnerin soll die Bestandsdaten insbesondere Name, Vorname, Anschrift, E-Mail-Adresse und Telefonnummer derjenigen Person herausgeben, die die Bewertung abgegeben hat. 

Im vorliegenden Fall gelten die Voraussetzungen für die Auskunftserteilung als nicht erfüllt, da das Vorgehen keine rechtswidrigen Inhalte enthält. Darüber hinaus stellt sich die Frage, ob der von der Antragsgegnerin betriebene Dienst «Google Maps» ein soziales Netzwerk darstellt. Eine «Ein-Sterne-Bewertung» ohne aussagekräftigen Begleittext bei «Google Maps» beinhaltet die implizite Tatsachenbehauptung, dass der Bewerter in irgendeiner Form mit dem Leistungsangebot des Bewerteten in Kontakt gekommen ist und dieses als unzureichend empfunden hat. Die Bewertungen tangieren den Schutzbereich nur, sofern sich die negativen Bewertungen unmittelbar auf die Zahnarztpraxis beziehen. Wird jedoch ein Konkurrent positiv bewertet, fällt dies nicht unter dem Schutzbereich des Persönlichkeitsrechts der Antragsteller.

Im Falle, dass sich die Äusserung eignet, das unternehmerische Ansehen in der Öffentlichkeit zu beeinträchtigen, ist ein Eingriff in den Schutzbereich des allgemeinen Persönlichkeitsrechts zu bejahen. Das Landgericht erläutert in diesem Fall, dass eine positive Bewertung des Konkurrenten in keinem Zusammenhang zu den Antragstellern und deren Tätigkeit steht. Ein rechtswidriger Eingriff in das Persönlichkeitsrecht besteht somit nur, wenn das Schutzinteresse des Betroffenen die schutzwürdigen Belange der anderen Seite überwiegt. Die Bewertung stellt somit eine zulässige Meinungsäusserung dar.

Das Web ist jedoch kein Ort des Höflichkeitsaustausches, weswegen bei Äusserungen im Internet ein grosser Ermessensspielraum gilt. Die Bewertungen im Internet sind als Werturteile zu qualifizieren, die nicht als Nicht-, Gering- oder Missachtung gelten. Nach der Ausführung des Landgerichts handelt es sich hier schliesslich um sozialadäquate Äusserungen des Grades der Un- oder Zufriedenheit eines Nutzers der Dienstleistungen, weswegen keine Auskunft erteilt werden darf.

__________________________________________________________________ 

Unzulässige befristete Sperrung eines Twitteraccounts

Beschluss des LG Nürnberg-Fürth vom 07.06.2019 - 11 O 3362/19 - Quelle: https://www.jurpc.de/jurpc/show?id=20190088

Das LG Nürnberg-Fürth hat mit Beschluss 11 O 3362/19 vom 07.06.2019 entschieden, dass die Äusserung des Twitter-Nutzers: «Dringende Weiterempfehlung für alle AfD-Wähler. Unbedingt den Stimmzettel unterschreiben», vom Grundrecht der Meinungsfreiheit erfasst wird und es sich um ein blosses Werturteil handelt, jedoch keine Behauptung von unwahren Tatsachen darstellt.

Der Antragsteller (der Twitter-Nutzer) wurde wegen seiner Äusserung vom Antragsgegner (Twitter) gesperrt. Zwischen dem Antragsteller und dem Antragsgegner besteht ein vertragliches Verhältnis über die Nutzung der Plattform Twitter. Diesbezüglich darf der Betreiber einer solchen Plattform Verhaltensregeln zu deren Nutzung aufstellen und den Nutzeraccount sperren lassen.

Eine Sperrung des Accounts ist insbesondere dann vorgesehen, wenn die Nutzung von Twitter das Ziel hat, die Wahlen zu manipulieren oder zu beeinträchtigen. Mit der Richtlinie zur Integrität von Wahlen aus April 2019 wurde eine solche Nutzung untersagt. Ein Verstoss gegen die Richtlinie kann zu einer vorübergehenden Verwehrung sowie zu einer Sperrung des Accounts führen. In den allgemeinen Geschäftsbedingungen ist eine Sperrung auch vorgesehen. 

Im vorliegenden Fall liegt am Ende der Äusserung ein Zwinker-Smiley vor, welches schliessen lässt, dass es sich um keinen ernst gemeinten Rat an AfD-Wähler handelt. Mit dieser Äusserung hat der Antragsteller vielmehr durch Ironie seine ablehnende Haltung gegenüber AfD gezeigt. Die Sperrung des Accounts ist somit nicht gerechtfertigt. Schiesslich besteht auch eine besondere Dringlichkeit für die Nutzung von Twitter, da der Account des Antragstellers auch für berufliche Zwecke genutzt wird. Die Beeinträchtigung besteht insofern, als der Antragsteller ausser dem Einloggen keine neuen Tweets veröffentlichen, lesen, retweeten, liken oder kommentieren kann.

https://openjur.de/u/2174877.html

__________________________________________________________________ 

Anforderungen an die Infrastruktur eines EU-Vertreters

27. Tätigkeitsbericht des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) 2018 – Quelle: 
https://datenrecht.ch/hmbbfdi-anforderungen-an-die-infrastruktur-eines-eu-vertreters/

Der HmbBfDI hielt in seinem 27. Tätigkeitsbericht 2018 fest, dass die Nutzung eines Unionsvertreters dann den Anforderungen nach Art. 27 DSGVO entspricht, wenn einerseits die Vertretung des Verantwortlichen sichergestellt ist und andererseits die Kommunikation mit den aus dem Drittland agierenden Mitarbeitern des Vertreters reibungslos funktioniert und im Bedarfsfall Treffen abgehalten werden. 

Der HmbBfDI hielt im besagten Tätigkeitsbericht fest, dass die Nutzung eines Unionsvertreters für Drittlands-Unternehmen in Form einer minimalen Infrastruktur seitens des Vertreters, mit einer Postanschrift im Unionsraum und ohne eigenes Personal, das regelmässig vor Ort ist, nur dann den Voraussetzungen nach Art. 27 DSGVO gerecht wird, wenn die Vertretung des Verantwortlichen tatsächlich sichergestellt ist. Solange  die Kommunikation mit den – im vorliegenden Fall – aus der Schweiz agierenden Mitarbeitern des Vertreters reibungslos funktioniert und im Bedarfsfall Treffen in der Hamburger Bürogemeinschaft abgehalten werden, wird die Hamburger Niederlassung dem Zweck des Art. 27 DSGVO gerecht. 

Im vorliegenden Fall hatte die in der Schweiz ansässige und als Verein international tätige FIFA einen in Hamburg ansässigen EU-Vertreter i.S.v. art. 27 i.V.m. Art. 3 Abs. 2 DSGVO bestellt. Als ein Datenleck entstand, meldete die FIFA dieses deshalb in Einklang mit einer Empfehlung der damaligen Artikel-29-Datenschutzgruppe beim Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI). In diesem Zusammenhang hielt der HmbBfDI die oben erwähnten Anforderungen an den EU-Vertreter fest.

27. Tätigkeitsbericht des HmbBfDI 2018, S. 52 f.: https://datenschutz-hamburg.de/assets/pdf/27._Taetigkeitsbericht_Datenschutz_2018_HmbBfDI.pdf

Empfehlung der Artikel-29-Datenschutzgruppe (Guidelines on Personal data breach notification under Regulation 2016/679, S. 18): https://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=49827

_____________________________________________________________________

Schleichwerbung bei Instagram

Beschluss des OLG Frankfurt am Main vom 28.6.2019 – 6 W 35/19 – Quelle: https://www.rv.hessenrecht.hessen.de/jportal/recherche3doc/OLG_Frankfurt_6_W_35-19_LARE190035531.pdf?json=%7B%22format%22%3A%22pdf%22%2C%22priceConfirmed%22%3Afalse%2C%22docPart%22%3A%22L%22%2C%22docId%22%3A%22LARE190035531%22%2C%22portalId%22%3A%22jurisw%22%7D&_=%2FOLG_Frankfurt_6_W_35-19_LARE190035531.pdf

Das OLG Frankfurt hat entschieden, dass die Empfehlung eines Produktes durch einen «Influencer» in dessen sozialem Medium, welches einen kommerziellen Zweck nicht erkennen lässt, jedenfalls dann eine nach § 5aVI UWG verbotene getarnte Werbung darstellt, wenn der „Influencer“ sich hauptberuflich mit dem Geschäftsbereich, zu dem das empfohlene Produkt gehört, beschäftigt und geschäftliche Beziehungen zu den Unternehmen unterhält, deren Produkte er empfiehlt.

Im Wiederholungsfall droht dem Beklagten ein Ordnungsgeld in der Höhe von bis zu EUR 250'000.00 oder eine Ordnungshaft bis zu sechs Monaten. 

Das Urteil ist nicht anfechtbar und damit rechtskräftig.

https://www.rv.hessenrecht.hessen.de/jportal/recherche3doc/OLG_Frankfurt_6_W_35-19_LARE190035531.pdf?json=%7B%22format%22%3A%22pdf%22%2C%22priceConfirmed%22%3Afalse%2C%22docPart%22%3A%22L%22%2C%22docId%22%3A%22LARE190035531%22%2C%22portalId%22%3A%22jurisw%22%7D&_=%2FOLG_Frankfurt_6_W_35-19_LARE190035531.pdf

_____________________________________________________________________

Amazon-Verkäuferin wehrt sich gerichtlich gegen Account-Sperre

Beschluss des LG Hildesheim vom 26.6.2019 – 3 O 179/19 – Quelle: https://www.internetworld.de/e-commerce/amazon/amazon-sellerin-wehrt-gerichtlich-account-sperre-1727888.html

Das LG Hildesheim hat mit Beschluss 3 O 179/19 vom 26.6.2019 im Eilverfahren entschieden, dass Amazon die Sperrung des Accounts einer Amazon-Verkäuferin sofort aufheben muss. Im vorliegenden Fall empfanden die Richter, dass einem solchen existinziellen Eingriff in eine besitzähnliche Rechtsposition der Antragstellerin sowohl eine vertragliche als auch eine gesetzliche Grundlage fehle.

Das LG Hildesheim hat mit Beschluss 3 O 179/19 vom 26.6.2019 im Eilverfahren entschieden, dass Amazon die Sperrung des Accounts einer Amazon-Verkäuferin sofort aufheben muss. Im vorliegenden Fall empfanden die Richter, dass einem solchen existinziellen Eingriff in eine besitzähnliche Rechtsposition der Antragstellerin sowohl eine vertragliche als auch eine gesetzliche Grundlage fehle.
Das Landgericht Hildesheim hat mit Beschluss vom 26.6.2019 im Eilverfahren entschieden, dass 
Amazon die Sperrung des Accounts einer Amazon-Verkäuferin sofort aufheben muss. Im vorliegenden Fall empfanden die Richter, dass die im Rahmen einer Bekämpfung von gefälschten Bewertungen durchgeführten Sperrungsmassnahmen von Amazon einen Eingriff in eine besitzähnliche Rechtsposition der Antragstellerin darstellen und deshalb einer vertraglichen oder gesetzlichen Grundlage bedürfen. 

Natürlich stehe es Amazon vor dem Hintergrund der Vertragsfreiheit frei, den Vertrag mit einem Verkäufer ordentlich zu kündigen. In diesem Fall müsse Amazon jedoch bestimmte Fristen einhalten und könne den betroffenen Händler nicht einfach «rauswerfen» und erst recht kein Guthaben einbehalten.

Der Beschluss des Landgerichts Hildesheim ist nicht rechtskräftig und könnte nach Rechtskraft für alle Amazon-Seller richtungsweisend sein. 

Die Kopie des Beschlusses des LG Hildesheim wird von Rechtsanwälte LHR (Köln) unter folgendem Link zur Verfügung gestellt: https://www.lhr-law.de/wp-content/uploads/2019/07/LG-Hildesheim-Amazon-Verkäuferkonto-gesperrt.pdf

_____________________________________________________________________

Facebook muss gelöschten Post wieder einstellen

Urteil des OLG Oldenburg vom 1.7.2019 – 13 W 16/19 – Quelle: https://oberlandesgericht-oldenburg.niedersachsen.de/startseite/aktuelles/presseinformationen/facebook-muss-geloschten-post-wieder-einstellen-178429.html

Das OLG Oldenburg hat mit Urteil 13 W 16/19 vom 1.7.2019 im Eilverfahren entschieden, dass Facebook einen ursprünglich gelöschten Post wieder einstellen muss. Im vorliegenden Fall empfanden die Richter, dass das Recht der Meinungsfreiheit andernfalls in unzulässigem Masse eingeschränkt wird.

_____________________________________________________________________

Löschungspflichten von Facebook

_____________________________________________________________________

Preisbezeichnung bei Kaffeekapseln

Urteil des BGH vom 28.3.2019 – I ZR 85/18 – Quelle: Internet World Business 9/19 vom 6.5.2019.

______________________________________________________________________

Ein GPS-Ortungssystem für die Überwachung des eigenen Fuhrparks ist verboten

Urteil des VerwG Lüneburg vom 19.3.2019 – 4 A 12/19 – Quelle: https://www.datenschutz.eu/urteile/GPS-Ortungssystems-des-eigenen-Fuhrparks-datenschutzrechtlich-unzulaessig-Verwaltungsgericht-Lüneburg-20190319/

Das VerwG Lüneburg hat mit Urteil vom 19.3.2019 entschieden, dass der Einsatz eines GPS-Ortungssystems die Lokalisierung des eigenen Fuhrparks datenschutzrechtlich unzulässig ist, sofern keine gültige Einwilligung des Nutzers resp. des Arbeitnehmers vorliegt. 

______________________________________________________________________

Verbot von Schleichwerbung durch „Taggen“ von Fotos ohne Werbekennzeichnung

Urteil des LG Karlsruhe vom 21.3.2019 – 13 O 38/18 KfH – Quelle: https://www.jurpc.de/jurpc/show?id=20190048

Das LG Karlsruhe hat mit Urteil vom 21.3.2019 entschieden, dass ein im Rahmen eines Instagram-Posts eingebetteter Tag im Foto mit der Verlinkung zum Marken-Herstellerseiten eine geschäftliche Handlung darstellt und daher eine entsprechende Werbekennzeichnung benötigt.  

Das Landgericht Karlsruhe hat entschieden, dass ein Instagram-Post, bei dem in das Foto eingebettete Tags mit Marken-Herstellerseiten verlinkt sind, eine geschäftliche Handlung im Sinne von § 2 Abs. 1 Nr. 1 UWG darstellt. Durch sie fördert der Betreiber des Accounts - i.d.R. ein sog. Influencer - die beworbenen Unternehmen ebenso wie sein eigenes, auf Werbeeinahmen zielendes Unternehmen. Die Kennzeichnung eines solchen Instagram-Auftritts als Werbung ist nicht entbehrlich. Insbesondere ist der werbliche Charakter nicht für alle - oft jugendlichen, teilweise kindlichen - Nutzer offensichtlich. Dies gilt umso mehr, als es das Geschäftsmodell von Influencern darstellt, (scheinbar) private mit kommerziellen Posts zu mischen.

______________________________________________________________________

Online-Verkauf von Alkohol an Minderjährige

Urteil des LG Bochum vom 23.1.2019 – I-13 O 1/19 – Quelle: https://www.justiz.nrw.de/nrwe/lgs/bochum/lg_bochum/j2019/13_O_1_19_Urteil_20190123.html

______________________________________________________________________

Koppelungsverbot und seine Auswirkungen

Erklärung der niederländischen Datenschützer vom 7.3.2019 – Quelle: https://t3n.de/news/cookies-verstoesst-ein-zwang-gegen-etwa-die-dsgvo-1149428/?etcc_cmp=Newsletter_Mar19&etcc_med=Newsletter&etcc_par=Cleverreach&et_cmp_seg4=DE_Alle&et_cmp_seg3=t3n_DSGVO

_____________________________________________________

Videoüberwachung des Treppenhauses eines Mehrfamilienhauses (Urteil des LG Essen vom 30.01.2019, 12 O 62/18) 

_____________________________________________________

Bundeskartellamt untersagt Facebook die Zusammenführung von Nutzerdaten aus verschiedenen Quellen - Bonn, 7. Februar 2019

Fehlt es bei den Daten von konzerneigenen Diensten und Drittwebseiten an der Einwilligung, kann Facebook die Daten nur noch stark eingeschränkt dem Nutzerkonto zuordnen. Entsprechende Lösungsvorschläge hierfür muss Facebook erarbeiten und dem Amt vorlegen.

Anonymisierung von Personendaten als zulässige Form der Löschung

In der Praxis stellt sich häufig die Frage, ob anstelle einer Löschung von Personendaten auch ihre Anonymisierung genügt. Die DSGVO gibt dazu keine klare Auskunft. Aus dem Sinn des Datenschutzrechts folgt aber eindeutig, dass die Anonymisierung genügen muss:

• Der Regelungsanspruch des Datenschutzrechts endet prinzipiell mit der Aufhebung des Personenbezugs. Anders formuliert: Das Datenschutzrecht kann seinen sachlichen Anwendungsbereich auch bei der Frage der Löschung nicht überschreiten. 
• Zwar verfolgt der Verantwortliche bei der Anonymisierung einen bestimmten Zweck – die Weiterverwendung der anonymisierten Daten -, was bei der Löschung nicht der Fall ist. Da sich dieser Zweck aber nicht auf Personendaten bezieht, kann bzw. darf sich das Datenschutzrecht für diesen Zweck nicht interessieren.
• Der Verantwortliche dürfte sich die anonymen Daten jederzeit beschaffen, ohne datenschutzrechtliche Anforderungen einhalten zu müssen (sofern die Daten auch bei seiner eigenen Verarbeitung anonym bleiben). Es wäre widersprüchlich, ihm die Anonymisierung zu verbieten, wenn ihm die Wiederbeschaffung freigestellt ist.

Daraus muss geschlossen werden, dass die Anonymisierung datenschutzrechtlich der Löschung entspricht, also ein Löschungsäquivalent ist, und demnach immer dann ohne weiteres zulässig ist, wenn eine Löschung erlaubt oder geboten ist.

Mit dieser Frage hat sich nun auch die österreichische Aufsichtsbehörde befasst (Entscheid DSB-D123.270/0009-DSB/2018 vom 5. Dezember 2018). Der Verantwortliche hatte auf ein Löschungsbegehren bestätigt, er habe die Daten des Antragstellers je nach System entweder gelöscht oder „DSGVO-konform anonymisiert“. Diese Vorgehensweise einer Löschung gleichzustellen. Die Datenschutzbehörde gibt dem Verantwortlichen recht: Die DSGVO definiere den Begriff der “Löschung” nicht. Aus Art. 4(2) DSGVO ergebe sich aber, dass das Löschen und die Vernichtung zwei unterschiedliche Dinge sind, woraus wiederum folgt, dass eine Löschung nicht zwingend eine endgültige Vernichtung voraussetzt. Auch die Entfernung des Personenbezugs könne ein mögliches Mittel zur Löschung i.S.v. Art. 4(2) i.V.m. Art. 17 Abs. 1 DSGVO sein. Die Anonymisierung muss aber eine vollständige sein:

Es muss […] sichergestellt werden, dass weder der Verantwortliche selbst, noch ein Dritter ohne unverhältnismäßigen Aufwand einen Personenbezug wiederherstellen kann […]. Nur wenn der Verantwortliche die Daten im Ergebnis auf einer Ebene aggregiert, sodass keine Einzelereignisse mehr identifizierbar sind, kann der entstandene Datenbestand als anonym (also ohne Personenbezug) bezeichnet werden (vgl. die Stellungnahme 5/2014 zu Anonymisierungstechniken der ehemaligen Art. 29-Datenschutzgruppe, WP216, S. 10).

Datenschutzbehörde hält Nutzung von „WhatsApp“ in Unternehmen für illegal

Die Landesbeauftragte für den Datenschutz Niedersachsen hat sich in einem Merkblatt für die Nutzung von „WhatsApp“ in Unternehmen klar positioniert: Den Messenger-Dienst im geschäftlichen Kontext, also bei Anwendbarkeit der Datenschutzgrundverordnung (DSGVO) zu nutzen, sei illegal. Dies begründet die Behörde ausführlich. Zusammengefasst werden folgende Punkte moniert:

1. Die Übermittlung der Kontakte aus dem Adressbuch des Nutzers an WhatsApp.

Die Übermittlung von Kontaktdaten aus dem Adressbuch an WhatsApp sei regelmäßig unzulässig. Das Unternehmen verwende die Metadaten, also wer mit wem wie oft kommuniziert für „Messungen, Analysen und sonstige Unternehmens-Dienste“. Darüber hinaus teilt WhatsApp grundsätzlich Informationen mit anderen Facebook-Unternehmen. Im Hinblick auf Nutzer, die selbst WhatsApp nutzen, könne man sich ggf. noch auf die „berechtigten Interessen nach Art. 6 Abs. 1 f) DSGVO stützen. Eine Übermittlung gespeicherter Nummern, die nicht bei dem Dienst angemeldet sind, sei ohne informierte Einwilligung hingegen unzulässig. Eine datenschutzkonforme Nutzung von WhatsApp ohne Übertragung von Telefonnummern sei nur bei dauerhafter Deaktivierung des Zugriffs auf die Kontakte direkt nach der Installation möglich. Dies führt aber dazu, dass man den Dienst nicht  richtig nutzen kann.

2. Die Übermittlung von personenbezogenen Daten in die USA.

Die Übermittlung von personenbezogenen Daten in die USA sei bei WhatsApp grundsätzlich gerechtfertigt, da WhatsApp am sogenannten Privacy Shield teilnimmt. Aktuell sei das Privacy Shield-Abkommen mit den USA auch noch in Kraft. Es bestünden jedoch erhebliche Bedenken gegen die Rechtmäßigkeit des Privacy Shields. Es bestehe daher das Risiko, dass das Privacy Shield-Abkommen gerichtlich angegriffen und durch den EuGH unmittelbar für unwirksam erklärt wird.

3. Die Nutzung von personenbezogenen Daten durch WhatsApp.

WhatsApp sei ein Diensteanbieter, der personenbezogene Daten in einer Art und Weise verarbeitet, die mit dem geltenden Recht nicht in Einklang zu bringen seien. WhatsApp lege selbst in seiner Datenschutzrichtlinie dar, dass sie ihnen vorliegende Informationen zu kaum eingegrenzten Zwecken verwenden.

4. Die Übermittlung der Nutzerdaten an andere Unternehmen des Facebook-Konzerns

Zwar informieren Facebook und WhatsApp jetzt in ihren Datenschutzerklärungen, darüber, dass Daten zwischen den Unternehmen geteilt werden. Das ändert jedoch nichts an der Rechtswidrigkeit dieses Austauschs. Damit wenden sich die Unternehmen des Konzerns sowohl gegen Entscheidungen deutscher Gerichte als auch die klare Kritik der Europäischen Aufsichtsbehörden.

Merkblatt für die Nutzung von "WhatsApp" in Unternehmen / Landesbeauftragte für den Datenschutz in Niedersachsen

______________________________________________________________________

Google muss 50 Millionen Euro Datenschutzstrafe zahlen

Die französische Datenschutzbehörde CNIL stellt Verstöße gegen die seit dem 25.5.2018 geltende DSGVO fest und verhängt die bisher höchste Strafe mit Euro 50 Millionen gegen Google.

CNIL bemängelte, die von Google eingeholte Zustimmung zur Anzeige personalisierter Werbung sei nicht gültig, weil die Nutzer nicht ausreichend informiert würden. So sei die Vielfalt der beteiligten Google-Dienste wie YouTube, Google Maps oder der Internet-Suche nicht ersichtlich. Zudem seien Informationen zur Verwendung der erhobenen Daten und dem Speicher-Zeitraum für die Nutzer nicht einfach genug zugänglich, erklärte die Behörde. Sie seien über mehrere Dokumente verteilt und Nutzer müssten sich über mehrere Links und Buttons durchklicken. Zudem seien einige der Informationen unklar formuliert.

____________________________________________________________________________

Koppelungsverbot - Erster Entscheid

Beschluss der österreichischen Datenschutzbehörde vom 30.11.2018 

Mit Beschluss vom 30.11.2018 hat sich die österreichische Datenschutzbehörde zur Problematik der Freiwilligkeit einer Einwilligung des Webseitenbesuchers in die Cookie-Verarbeitung geäußert. 

________________________________________________________________________

Keine Bestandskunden-Mailings an Interessenten / Mögliche Ausnahmen

OLG Düsseldorf, Urteil vom 5.4.2018, Az.: I-20 U 155/16

Die Ausnahmeregelung, wonach Mailings ohne Einwilligung an Bestandskunden versendet werden dürfen, gilt nicht für E-Mail-Werbung an Interessenten, welche noch keine Produkte im Online-Shop bestellt haben und damit noch kein Vertragsabschluss zustande gekommen ist. 

Ein Unternehmer schickte Werbung per E-Mail an die Klägerin ohne deren vorherige Einwilligung. Diese hatte sich zwar in der Vergangenheit über Angebote des Beklagten (Online-Shop-Betreibers) informiert, zu einem Vertragsschluss war es aber nie gekommen. Das OLG Düsseldorf verurteilte das Unternehmen zur Unterlassung. Eine Voraussetzung des § 3 Abs. 3 des Gesetzes gegen den unlauteren Wettbewerb (Deutschland), wonach E-Mails auch ohne vorheriges Einverständnis versendet werden dürfen, sei, dass der Versender die Adresse des Kunden im Zusammenhang mit dem verkauf einer Ware oder Dienstleistung erhalten habe. Hier sei es jedoch nicht zu einem Vertragsschluss gekommen, sodass die Empfängerin der Werbemail keine Kundin geworden sei. 

E-Mail-Werbung kann nach der Ausnahmeregelung von § 3 Abs. 3 UWG (Deutschland) offenbar ohne Einwilligung an deutsche Konsumenten unter insgesamt vier Voraussetzungen versendet werden, die alle zusammen erfüllt sein müssen. Insbesondere muss ein Vertragsschluss erfolgt sein. 

In § 7 Abs. 3 UWG (Deutschland) sind diese Voraussetzungen zusammengefasst. Abweichend von § 7 Absatz 2 Nummer 3 UWG (Deutschland) ist eine unzumutbare Belästigung bei einer Werbung unter Verwendung elektronischer Post nicht anzunehmen, wenn 

1.

ein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden dessen elektronische Postadresse erhalten hat,

2.

der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet,

3.

der Kunde der Verwendung nicht widersprochen hat und

4.

der Kunde bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.

Also es gibt zwar Möglichkeiten, die Bestandskunden direkt (ohne zusätzliche Einwilligungserklärung) anzuschreiben, dann müssen aber die obgenannten 4 Bedingungen erfüllt sein. In den meisten Fällen dürfte es insbesondere an der Voraussetzung Nr. 4 fehlen, da im damaligen Zeitpunkt der Erhebung der Adresse es unterlassen wurde, klar und deutlich auf die Möglichkeit des jederzeitigen Widerrufs hinzuweisen. Prüfen Sie also genau, ob Sie Ihre Bestandskunden auf der Basis dieser Ausnahmebestimmungen in § 7 Abs. 3 UWG (Deutschland) ohne Einwilligung anschreiben dürfen. 

Tip: Für alle Online-Shop-Betreiber aus der Schweiz sei auch empfohlen, den Anhang zu § 3 Abs. 3 UWG (Deutschland) zu lesen. Darin sind alle unlauteren Werbehandlungen aufgezählt, welche im Werbezusammenhang mit deutschen Konsumenten unter allen Umständen zu unterlassen sind. Den Anhang finden Sie hier.

___________________________________________________________

E-Mails mit Bitte um Bewertung und Kundenzufriedenheit sind SPAM

BGH Urteil Az.: VI ZR 225/17

Werbung per E-Mail ohne Zustimmung des Empfängers ist unzulässig (ausgenommen die Ausnahmetatbestände in § 7 Abs. 3 UWG (Deutschland); vgl. untenstehende  Rubrik "Keine Bestandskunden-Mailing an Interessen / Mögliche Ausnahmen"). Darunter fallen nicht nur Werbemails, sondern auch indirekte Werbeformen wie Fragen, warum ein Kunde eine Bestellung abgebrochen hat. 

Der Bundesgerichtshof in Deutschland hat jetzt entschieden, dass auch die Zusendung der weitverbreiteten E-Mails mit der Bitte um eine Bewertung bzw. Kundenzufriedenheitsbefragung regelmässig unzulässig sind. 

Dies gilt nach der Ansicht des BGH selbst dann, wenn die entsprechende E-Mail auch die Rechnung der Bestellung enthält. Die Übersendung einer Rechnung ist zwar noch keine Werbung, was aber nicht zur Folge hat, dass die in der gleichen E-Mail enthaltene Bitte um Bewertung oder die beigefügte Kundenzufriedenheitsbefragung keine Werbung darstellt. 

Auch die Anwendbarkeit von § 7 Abs. 3 UWG (Deutschland) lehnte der BGH im vorliegenden Fall ab, da der Beklagte schon bei der Erhebung der E-Mail-Adresse und bei jeder weiteren Verwendung den Kunden nicht klar und verständlich darauf hingewiesen hat, dass er der Verwendung jederzeit widersprechen kann, ohne dass dafür andere als die Übermittlungskosten nach den Basistarifen entstehen (vgl. unsere untenstehende  Rubrik "Keine Bestandskunden-Mailing an Interessen / Mögliche Ausnahmen").

Tip: Wer weiterhin an Bewertungsanfragen festhalten will und rechtlich auf Nummer sicher gehen möchte, muss sich dies vom Kunden per Checkbox-Bestätigung (clickwrapping) im Rahmen des Bestellvorgangs bereits im voraus bestätigen lassen und gleichzeitig auf das Widerspruchsrecht hinweisen. 

_______________________________________________________

Haftung des Bewertungsplattformbetreibers für mathematische Algorithmen

Volltext: http://www.gesetze-bayern.de/(X(1)S(utv1u0c5uprhgvsfopslaasy))/Content/Document/Y-300-Z-BECKRS-B-2018-N-29195?hl=true&AspxAutoDetectCookieSupport=1

________________________________________________________

Unerlaubte E-Mail-Werbung begründet im Bagatellfall keinen Schadenersatz nach DSGVO (Art. 82 Abs. 1)

Amtsgericht Diez, Urteil vom 7.11.2018 - 8 C 130/18; vgl. auch Zeitschrift Datenschutz-Berater, 12/2018, Seite 259

Die unerlaubte Versendung einer Werbe-E-Mail löst keinen Anspruch auf Schmerzensgeld im Sinne von Art. 82 Abs. 1 DSGVO aus. Es bedürfe vielmehr einer nicht unerheblichen Beeinträchtigung der Interessen des einzelnen Betroffenen. In dem Fall hat der Versender einer Werbemail (Anlass war eine Re-Opt-In-Kampagne) bereits einen Betrag von 50 € an den Empfänger gezahlt, womit dieser sich aber nicht zufrieden gab und mindestens 500 € forderte. Das Gericht lehnte den Anspruch mit der Begründung ab, dass dem Empfänger kein spürbarer Nachteil entstanden sei und es sich daher um einen Bagatellverstoss handle. Durch die gezahlten 50 € sei darüber hinaus ein etwaig bestehender Schmerzensgeldanspruch als abgegolten anzusehen. 

________________________________________________________

Keine Beschränkung des Auskunftsanspruch durch die DSGVO

OLG München, Teilurteil vom 24.10.2018 - 3 U 1551/17; vgl. auch Zeitschrift für Datenschutz-Berater, 12/2018, Seite 259

Ein Anspruch auf Herausgabe von Kundendaten ist durch die DSGVO nicht grundsätzlich beschränkt. Hintergrund war ein bestehender Händlervertrag zwischen der Klägerin und der Beklagten, aus dem die Beklagte zur Vorbereitung eines Schadenersatzanspruchs wegen Verletzung der Vertragspflichten einen Auskunftsanspruch geltend machte. Von dieser Auskunft waren auch personenbezogene Kundendaten des Klägers betroffen. In einer Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO gewichtete das OLG München das Interesse der Beklagten an der Durchsetzung möglicher Schadenersatzansprüche höher als die Interessen der betroffenen Kunden und begründete seine Entscheidung damit, dass keine höchstpersönlichen Daten oder besonderes Know-How weitergegeben worden sei, sondern ausschliesslich wirtschaftliche Daten über mehrere Kaufabwicklungen. 

__________________________________________________________________________

Zulässige Datenfernverarbeitung für Direktwerbezwecke

Wer sich mit diesem Thema beschäftigen muss, für den ist die "Orientierungshilfe der deutschen Datenschutz-Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der Datenschutz-Grundverordnung (DSGVO)" vom November 2018 absolute Pflichtlektüre. Wir empfehlen Ihnen, die 14 Seiten der Empfehlung gut zu lesen. 

__________________________________________________________

Unverschlüsselter E-Mail-Versand von Rechnungen

Zeitschrift Datenschutz-Berater, DSB 12/2018, Seite 257

Nach dem Grundsatz der Vertraulichkeit muss bei der Verarbeitung durch geeignete technische und organisatorische Massnahmen eine angemessene Sicherheit gewährleistet sein, insbesondere bezogen auf den Schutz vor unbefugter oder unrechtmässiger Verarbeitung und vor unbeabsichtigtem Verlust der personenbezogenen Daten. Als zu ergreifende Massnahme benennt Art. 32 Abs. 1 lit. a DSGVO unter anderem die Verschlüsselung der personenbezogenen Daten. Das durch die technischen und organisatorischen Massnahmen gewährleistete Schutzniveau muss gemäss Art. 32 Abs. 1 DSGVO zu dem Risiko der Verarbeitung in einem angemessenen Verhältnis stehen. Im Rahmen dieser Abwägung sind u.a. Art, Umfang, Umstände und Zwecke der Verarbeitung sowie die Eintrittswahrscheinlichkeit und Schwere des Risikos (vgl. dazu die Datenschutz-Folgeabschätzung) für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen. 

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat in seinem Tätigkeitsbericht für 2016/2017 (Seite 44) den unverschlüsselten E-Mail-Versand von Rechnungen und Bestellbestätigungen, in denen auch Kontoinformationen (IBAN, BIC) der betroffenen Personen enthalten sind, als unzulässig bewertet. Gerade die Kombination aus der Identität des Kontoinhabers, seiner IBAN und seiner BIC würden in diesem Fall ein hohes Missbrauchsrisiko begründen. Dokumente, die  Bankverbindungen der Kunden enthalten, sind entweder postalisch oder mit verschlüsselter E-Mail zu versenden oder, wenn dennoch der unverschlüsselte elektronische Versand erfolgen soll, die enthaltene IBAN und/oder BIC zu maskieren. 

_________________________________________________________

Upload von Kundenvideos auf Facebook ohne Einwilligung verstösst gegen DSGVO

Urteil des Landgerichts Frankfurt am Main vom 13.09.2018 - 2-03 O 283/18 - Quelle: https://www.rdv-online.com/blog/detail/sCategory/120/blogArticle/2424; vgl. auch Zeitschrift Datenschutz-Berater, 12/2018 (Seite 263 mit Kommentar von Prof. Dr. Jürgen Vahle. 

________________________________________________________________________

Wettbewerbsrechtlicher Unterlassungsanspruch wegen Verstosses gegen die DSGVO

Das Landgericht Würzburg hat beschlossen, dass beim Verstoss gegen die DSGVO infolge einer mangelhafter Datenschutzerklärung ein solcher des Wettbewerbrechts gemäss § 3a UWG vorliegt und somit vom Antragsteller abgemahnt werden konnte. Dem Antrag konnte lediglich nicht dahingehend entsprochen werden, der Antragsgegnerin eine vom Gericht festzusetzende Vertragsstrafe anzudrohen. Der Antragsgegnerin – im vorliegenden Fall eine Anwaltskanzlei – sind vielmehr für den Fall der Zuwiderhandlung gegen das erlassene Verbot die in § 890 Abs. 1 ZPO vorgesehenen Ordnungsmittel anzudrohen.

_______________________________________________________________________

Kein Unterlassungsanspruch von Mitbewerbern aufgrund von Datenschutzrechtsverstössen gemäss DSGVO

Urteil des Landgerichts Bochum vom 7. August 2018 – I-12 O 85/18 – Quelle: http://www.jurpc.de/jurpc/show?id=20180152

______________________________________________________________________

DSGVO-Abmahnungen eingeschränkt möglich: OLG Hamburg vertritt vermittelnde Ansicht

________________________________________________________________________

Kann die DSGVO über das UWG abgemahnt werden? Das Landgericht Wiesbaden sagt nein. 

Enthält die DSGVO überhaupt Marktverhaltensregeln?: Die meisten Gerichte haben zumindest vor Anwendbarkeit der DSGVO meist eine vermittelnde Ansicht vertreten und im Einzelfall entschieden, ob die datenschutzrechtliche Norm, um die es geht, eine Marktverhaltensregel ist oder nicht. Hier komme es auf die Frage an, ob die betroffenen personenbezogenen Daten als wirtschaftliches Gut verarbeitet werden – so wie es z.B. bei einer Nutzung zu Werbezwecken der Fall sei.